Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Snort, WinXP SP2 und eingehende Pakete

Frage Sicherheit Sicherheits-Tools

Mitglied: Smiley

Smiley (Level 1) - Jetzt verbinden

04.04.2007, aktualisiert 10.04.2007, 6021 Aufrufe, 10 Kommentare

Hi,

bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.

--diese Satz steht nur wegen der 256 Zeichen begrenzung--

Mit freundlichen Grüßen
Mitglied: Iwan
04.04.2007 um 11:07 Uhr
ich frag aber trotzdem mal nach dem Grund, denn wenn man nicht weiss, was Du vor hast oder was der Sinn dieser Aktion sein soll, dann kann man Dir auch nicht wirklich helfen
also, wofür brauchst Du ein Intrusion Detection System? würde nicht auch eine vernünftige (Hardware-)Firewall ausreichen?
Bitte warten ..
Mitglied: Smiley
04.04.2007 um 11:15 Uhr
Im Grunde will ich nur mein Wissen etwas erweitern indem ich meinen PC "sicherer" mache.

SO ich habe es jetzt geschaft das Snort die Pakete findet. Auf der Seite von Win IDS sagt man mir ich soll einen IIS server installieren. Aber brauche ich den wenn ich Snort auf meinem Rechner laufen lasse? Und geht SnortSnarf dann noch?
Bitte warten ..
Mitglied: Iwan
04.04.2007 um 12:13 Uhr
ah ja, ok, aber 1. funktioniert SNORT wohl nur unter Linux (wenn ich das auf deren HP richtig gelesen habe) und 2. benutzt Du Windows XP, welches in der Grundkonfiguration sicherlich nicht sicher ist

entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre

"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)


*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
Bitte warten ..
Mitglied: Smiley
04.04.2007 um 12:38 Uhr
Ich hab es jetzt zum laufen gekriegt, mit SnortSnarf. Ja, auf meinem WinXP PC!

Jetzt habe ich eine frage nach dem was er erkennt. Er hat bei mir (nur von Heute Morgen bis jetzt) 866 (in 20min von 799 auf 866) Pakete von 473 verschiedenen IP Addressen als Quellen bekommen, die alle "ICMP Destination Unreachable Communication Administratively Prohibited" heißen. Ich habe gelesen das die Teil einer DoS Attacke sein können. Dafür sind es aber zu viele Quellen.
Desweiteren kommen 58 davon von meiner Öffentlichen IP Addresse mit dem Ziel meiner Internen (77.178.198.162 -> 192.168.178.21).
Das hier ist eines davon:

01.
[**] [1:485:5] ICMP Destination Unreachable Communication Administratively Prohibited [**] 
02.
[Classification: Misc activity] [Priority: 3]  
03.
04/05-12:44:18.715000 77.178.198.162 -> 192.168.178.21 
04.
ICMP TTL:63 TOS:0xC0 ID:10100 IpLen:20 DgmLen:56 
05.
Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED, 
06.
PACKET FILTERED 
07.
** ORIGINAL DATAGRAM DUMP: 
08.
192.168.178.21:137 -> 212.184.213.98:137 
09.
UDP TTL:127 TOS:0x0 ID:10100 IpLen:20 DgmLen:78 
10.
Len: 50 Csum: 8847 
11.
** END OF DUMP
Was geht da vor?

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: gnarff
09.04.2007 um 01:06 Uhr
Hallo Smiley!
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.

Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX

Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten

SnortSnarf ist ein Diagnosetool fuer Snort.

"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS

Diese "Verbindung" wurde abgeblockt!

Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf

saludos
gnarff
Bitte warten ..
Mitglied: Smiley
09.04.2007 um 12:39 Uhr
Danke ich werde mir die Seiten/PDFs angucken.
In der Zeit seit dem letzten Beitrag von mir, habe ich schon herausgefunden das die Firewall meines Routers eine verbindung über den Port 137 abgeblockt hat und meinem rechner dann mit einem dieser Pakete darauf aufmerksam macht.

---
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest du dir sparen können.

Außerdem gibt es auch Host basierte IDS.
Mit freundlichen Grüßen

PS: Mir ist klar das das nicht viel Sinn macht ein IDS auf meinem Rechner zu haben. Wenn ich herausgefunden hab wie ich Snort in meinem Router bekomm, werd ich es bei mir unterwerfen.
Bitte warten ..
Mitglied: gnarff
10.04.2007 um 04:01 Uhr
Hallo!
---
Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest
du dir sparen können.

Warum? Dein Vorredner hatte gemutmasst, SNORT wuerde nur unter Linux laufen...
Außerdem gibt es auch Host basierte
IDS.

Ja, aber nicht unter Windows und auch bei HIDS brauchst du einen Server. HIDS bedeutet lediglich, dass JEDER Host sein eigenes IDS hat, nichts weiter...
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wonach Du suchst scheint ein Intrusion Prevention System zu sein...
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
SNORT in den Router? Wie soll SNORT in den Router kommen, das ist Unfug!
Was willst Du damit bezwecken?
saludos
gnarff
Bitte warten ..
Mitglied: Smiley
10.04.2007 um 10:11 Uhr
Ich hab eine Fritz!Box, ich kann mit Telnat oder einem FTP Programm auf sie zugreifen und Daten Speichern und Programme ausführen. (BFTP z.B)
Naja, die Fritz!Box ist im Grunde auch ein Server.

..., jetzt fällt mir ein das die Fritz.Box ganz bestimmt nicht genug RAM hat um Snort laufen zu lassen. Mit der kleinsten Einstellung benötigt Snort immernoch 100MB Arbeitsspeicher.
Tja wird wohl nichts.


Hm, Snort läuft einwandfrei bei mir auf meinem Einzelplatzrechner. Warum also benötige ich einen Server?
Mit freundlichen Grüßen

PS: Warum habe ich in meinem vorherigen Beitrag "unterwerfen" geschrieben?
Bitte warten ..
Mitglied: gnarff
10.04.2007 um 15:20 Uhr
Herrschaftszeiten, ich frage Dich jetzt noch einmal:
Was willst Du mit deinem Vorhaben SNORT in deiner Fritzbox, oder wo auch immer laufen zu lassen, erreichen?
saludos
gnarff

PS: Ich nehme mal an, Du hattest das "R" vergessen...= r+unterwerfen
Bitte warten ..
Mitglied: Smiley
10.04.2007 um 16:54 Uhr
Garnichts da Snort dort nicht laufen wird.
Nagut ich glaub ich setz mal ein "gelöst" an diesem Beitrag.


Mit freundlichen Grüßen und Danke für eure Hilfe.

PS: Ja, ich glaub du hast recht.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
WinXP-PC mit einem Barcodescanner herunterfahren (6)

Frage von Sinzal zum Thema Batch & Shell ...

Windows 7
Windows 7 Client zieht sich keine MSI Pakete (6)

Frage von Ghost108 zum Thema Windows 7 ...

Batch & Shell
Batch: .rar-Pakete automatisch Ordner erstellen und verschieben (2)

Frage von BowserMD zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...