Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SNORT ohne Spanning oder Monitor Port

Frage Sicherheit Erkennung und -Abwehr

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

17.10.2013 um 00:35 Uhr, 4415 Aufrufe, 9 Kommentare, 2 Danke

Hi,

um mit SNORT jedweden Traffic der durch ein Internet Gateway wandert zu analysieren muesste man
wohl den traffic sagen wir eines cable modems direkt nach dem modem abfangen z.b. mittels eines hubs.
eine physikalische verbindung wuerde dann wohl an die erste NIC des SNORT Servers gehen, die 2. NIC wuerde
die verbindung zu einem switch oder was auch immer dahinter herstellen.

aber das muss doch auch ohne eine hub gehen, gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
wir haben eine aussenstelle die IT technisch nicht sehr gut angebunden ist ( Fritzbox, business line von unitymedia ) und auch dort moechten
wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?

sind fuer jeden tipp dankbar.
Mitglied: Pjordorf
17.10.2013 um 00:56 Uhr
Hallo,

Zitat von agnostiker:
aber das muss doch auch ohne eine hub gehen,
Ja. Nennt sich TAP und sind nicht eben Preiswert bei GBit/s und höher.

gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
Nennt sich HUB (aber nur max. 100 MBit/s)

( Fritzbox, business line von unitymedia )
Ach so, nur ne Frittenschmiede.

wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?
Nutze die Fritzbox eigene Funktion. http://fritz.box/html/capture.html

Gruß,
Peter
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 08:28 Uhr
Netgear GS105E
Läßt sich als Switch oder Tap oder Mirroring Device einsetzen.
Es gibt auch die Achtport-Version davon.

Aber die Überschrift passt nicht.
Nach der Überschrift hieße meine Antwort HUB, wobei es 100er-Hubs kaum mehr gibt und wenn uralt und zu überhöhten Preisen. Zudem ist ein Hub für ein Kabelmodem zu langsam.

Gruß
Netman
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 10:51 Uhr
erstmal danke fuer deinen super Tip!

Wie würde dann die Konfig aussehen wenn wir den Netgear dazwischen schalten ?
da der switch vlan unterstützt waere doch folgendes denkbar:

Auf dem 8port Netgear 2 vlans erstellen.

vlan0 mit 3 ports -> Auf Port1 kommt Ethernet vom unitymedia CableModem
-> Auf Port2 geht Ethernet in die Fritzbox
-> Auf Port3 Snort Server

vlan1 -> Die restlichen Ports fuer std. Switching.
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 11:20 Uhr
genau so ist es gut.
Port 3 ist dann ein Monitoring Port für Port1, das ist wichtig.
Die Fritzbox wird mit den LAN-Ports vom VLAN1 erweitert.

Billiger kommt man nicht an en Monitoring Device.
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 11:47 Uhr
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC anschluss
angeschlossen sind, in der konstellation waeren wir dann erstmal gekniffen oder wir muessten den switch dann zwischen fritzbox und internem switch haengen oder sehe ich das falsch ?
Bitte warten ..
Mitglied: aqui
17.10.2013 um 12:45 Uhr
Das ist egal wo das Device zwischenhängst ! Du hast 2 Optionen:
1.) Zwischen Kabel Modem und Router
2.) Zwischen Routerport und Switchport

Das allereinfachste ist du stattest den Snort mit 2 NICs aus und konfigurierst den als simple Bridge wie es oben beschrieben ist:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Damit ist die Integration dann kinderleicht und erfordert keine zusätzlcihe Frickelei mit Monitor Port oder Hub usw.
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 14:54 Uhr
Zitat von agnostiker:
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC Anschluss ( ist ein besserer F-Stecker) angeschlossen sind, in der Konstellation waeren wir dann erstmal gekniffen oder wir müssten den Switch dann zwischen Fritzbox und internem switch hängen oder sehe ich das falsch ?
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere Konfiguration bietet sich an.
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 15:15 Uhr
Zitat von MrNetman:
> Zitat von agnostiker:
[...........]
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere
Konfiguration bietet sich an.

Sorry vieleicht war das "interne Switch" hier falsch ich meinte:

Wenn wir aufgrund des Steckers nicht zwischen Cable Modem und Fritz abzweigen koennen, dann muessen wir wohl zwischen dem physikalischen Kabel welches von der Fritzbox raus zum lokalen Switch ( nicht die fritzbox selbst ) geht lauschen.
Bitte warten ..
Ähnliche Inhalte
Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Netzwerkprotokolle
Borcade Spanning Tree mit getagged Ports deaktiviert Fast Port - was kann ich tun
gelöst Frage von schramlschnaithNetzwerkprotokolle11 Kommentare

Hallo, ich habe eine komplette Brocade Umgebung und eigentlich globales spanning-tree aktiviert. Da wir Cisco Telefone bekommen habe ich ...

LAN, WAN, Wireless
Spanning Tree mit Procurve 1800
gelöst Frage von SchoSebLAN, WAN, Wireless6 Kommentare

Hallo zusammen. Wir haben hier noch einige 1800er Procurves im Einsatz, die mit einer aktuellen Firmware zumindest nicht mehr ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 49 MinutenInternet

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 7 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 18 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 20 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen13 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...