Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Snort, WinXP SP2 und eingehende Pakete

Frage Sicherheit Sicherheits-Tools

Mitglied: Smiley

Smiley (Level 1) - Jetzt verbinden

04.04.2007, aktualisiert 10.04.2007, 6051 Aufrufe, 10 Kommentare

Hi,

bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.

--diese Satz steht nur wegen der 256 Zeichen begrenzung--

MfG
Mitglied: Iwan
04.04.2007 um 11:07 Uhr
ich frag aber trotzdem mal nach dem Grund, denn wenn man nicht weiss, was Du vor hast oder was der Sinn dieser Aktion sein soll, dann kann man Dir auch nicht wirklich helfen
also, wofür brauchst Du ein Intrusion Detection System? würde nicht auch eine vernünftige (Hardware-)Firewall ausreichen?
Bitte warten ..
Mitglied: Smiley
04.04.2007 um 11:15 Uhr
Im Grunde will ich nur mein Wissen etwas erweitern indem ich meinen PC "sicherer" mache.

SO ich habe es jetzt geschaft das Snort die Pakete findet. Auf der Seite von Win IDS sagt man mir ich soll einen IIS server installieren. Aber brauche ich den wenn ich Snort auf meinem Rechner laufen lasse? Und geht SnortSnarf dann noch?
Bitte warten ..
Mitglied: Iwan
04.04.2007 um 12:13 Uhr
ah ja, ok, aber 1. funktioniert SNORT wohl nur unter Linux (wenn ich das auf deren HP richtig gelesen habe) und 2. benutzt Du Windows XP, welches in der Grundkonfiguration sicherlich nicht sicher ist

entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre

"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)


*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
Bitte warten ..
Mitglied: Smiley
04.04.2007 um 12:38 Uhr
Ich hab es jetzt zum laufen gekriegt, mit SnortSnarf. Ja, auf meinem WinXP PC!

Jetzt habe ich eine frage nach dem was er erkennt. Er hat bei mir (nur von Heute Morgen bis jetzt) 866 (in 20min von 799 auf 866) Pakete von 473 verschiedenen IP Addressen als Quellen bekommen, die alle "ICMP Destination Unreachable Communication Administratively Prohibited" heißen. Ich habe gelesen das die Teil einer DoS Attacke sein können. Dafür sind es aber zu viele Quellen.
Desweiteren kommen 58 davon von meiner Öffentlichen IP Addresse mit dem Ziel meiner Internen (77.178.198.162 -> 192.168.178.21).
Das hier ist eines davon:

01.
[**] [1:485:5] ICMP Destination Unreachable Communication Administratively Prohibited [**] 
02.
[Classification: Misc activity] [Priority: 3]  
03.
04/05-12:44:18.715000 77.178.198.162 -> 192.168.178.21 
04.
ICMP TTL:63 TOS:0xC0 ID:10100 IpLen:20 DgmLen:56 
05.
Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED, 
06.
PACKET FILTERED 
07.
** ORIGINAL DATAGRAM DUMP: 
08.
192.168.178.21:137 -> 212.184.213.98:137 
09.
UDP TTL:127 TOS:0x0 ID:10100 IpLen:20 DgmLen:78 
10.
Len: 50 Csum: 8847 
11.
** END OF DUMP
Was geht da vor?

MfG
Bitte warten ..
Mitglied: gnarff
09.04.2007 um 01:06 Uhr
Hallo Smiley!
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.

Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX

Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten

SnortSnarf ist ein Diagnosetool fuer Snort.

"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS

Diese "Verbindung" wurde abgeblockt!

Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf

saludos
gnarff
Bitte warten ..
Mitglied: Smiley
09.04.2007 um 12:39 Uhr
Danke ich werde mir die Seiten/PDFs angucken.
In der Zeit seit dem letzten Beitrag von mir, habe ich schon herausgefunden das die Firewall meines Routers eine verbindung über den Port 137 abgeblockt hat und meinem rechner dann mit einem dieser Pakete darauf aufmerksam macht.

---
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest du dir sparen können.

Außerdem gibt es auch Host basierte IDS.
MfG

PS: Mir ist klar das das nicht viel Sinn macht ein IDS auf meinem Rechner zu haben. Wenn ich herausgefunden hab wie ich Snort in meinem Router bekomm, werd ich es bei mir unterwerfen.
Bitte warten ..
Mitglied: gnarff
10.04.2007 um 04:01 Uhr
Hallo!
---
Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest
du dir sparen können.

Warum? Dein Vorredner hatte gemutmasst, SNORT wuerde nur unter Linux laufen...
Außerdem gibt es auch Host basierte
IDS.

Ja, aber nicht unter Windows und auch bei HIDS brauchst du einen Server. HIDS bedeutet lediglich, dass JEDER Host sein eigenes IDS hat, nichts weiter...
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wonach Du suchst scheint ein Intrusion Prevention System zu sein...
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
SNORT in den Router? Wie soll SNORT in den Router kommen, das ist Unfug!
Was willst Du damit bezwecken?
saludos
gnarff
Bitte warten ..
Mitglied: Smiley
10.04.2007 um 10:11 Uhr
Ich hab eine Fritz!Box, ich kann mit Telnat oder einem FTP Programm auf sie zugreifen und Daten Speichern und Programme ausführen. (BFTP z.B)
Naja, die Fritz!Box ist im Grunde auch ein Server.

..., jetzt fällt mir ein das die Fritz.Box ganz bestimmt nicht genug RAM hat um Snort laufen zu lassen. Mit der kleinsten Einstellung benötigt Snort immernoch 100MB Arbeitsspeicher.
Tja wird wohl nichts.


Hm, Snort läuft einwandfrei bei mir auf meinem Einzelplatzrechner. Warum also benötige ich einen Server?
MfG

PS: Warum habe ich in meinem vorherigen Beitrag "unterwerfen" geschrieben?
Bitte warten ..
Mitglied: gnarff
10.04.2007 um 15:20 Uhr
Herrschaftszeiten, ich frage Dich jetzt noch einmal:
Was willst Du mit deinem Vorhaben SNORT in deiner Fritzbox, oder wo auch immer laufen zu lassen, erreichen?
saludos
gnarff

PS: Ich nehme mal an, Du hattest das "R" vergessen...= r+unterwerfen
Bitte warten ..
Mitglied: Smiley
10.04.2007 um 16:54 Uhr
Garnichts da Snort dort nicht laufen wird.
Nagut ich glaub ich setz mal ein "gelöst" an diesem Beitrag.


MfG und Danke für eure Hilfe.

PS: Ja, ich glaub du hast recht.
Bitte warten ..
Ähnliche Inhalte
Sicherheitsgrundlagen
gelöst Wie am besten eingehende Bewerbermails nach Viren scannen? (14)

Frage von arsn86 zum Thema Sicherheitsgrundlagen ...

Linux Netzwerk
gelöst Ubuntu 16.04LTS, Snort, Erkennung von nmap Scans (3)

Frage von gdconsult zum Thema Linux Netzwerk ...

Exchange Server
Abprüfung eingehende Email (11)

Frage von novregen zum Thema Exchange Server ...

Neue Wissensbeiträge
Batch & Shell

Batch zum Zurücksetzen eines lokalen Profils

Tipp von Mr.Error zum Thema Batch & Shell ...

RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
VPN Tunnel aufbauen (16)

Frage von Hajo2006 zum Thema LAN, WAN, Wireless ...

Router & Routing
ASUS RT-N18U mit VPN Client hinter Fritzbox - Portforwarding (14)

Frage von marshall75000 zum Thema Router & Routing ...

Microsoft Office
Saubere HTML aus Word-Dokument (14)

Frage von peterpa zum Thema Microsoft Office ...

E-Mail
gelöst Probleme beim E-Mail Empfang (12)

Frage von TommyB83 zum Thema E-Mail ...