Milla Geschrieben 27. Mai 2004 Teilen Geschrieben 27. Mai 2004 Hallo zusammen, ich sollte bei uns eine IDS einrichten, dass Angriffe meldet. Welche Software würdet ihr empfehlen? Ich teste gerade Snort an (für Windows) werde aber noch nicht richtig schlau draus !! Wer kennt sich mit Snort und so aus? Kennt jemand ein Howto für Snort unter Win?? Empfehlt ihr etwas anderes und was haltet ihr von IDS Systemen ! Mfg Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
carstenj Geschrieben 27. Mai 2004 Teilen Geschrieben 27. Mai 2004 Hallo, ich kenne mich mit Snort aus, allerdings unter Linux. Was willst du denn genau wissen? Snort ist das IDS im Open Source Bereich. Es erkennt momentan wohl die meisten Angriffe. Durch die große community werden neue Sicherheitslücken und Signaturen sehr schnell in Snort-Regeln umgesetzt, sodass sie erkannt werden können. Die sind sehr einfach zu updaten. Wenn du dich näher damit befassen willst, empfehl ich dir das Buch hier: http://www.amazon.de/exec/obidos/ASIN/38266504418 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
nic_power Geschrieben 27. Mai 2004 Teilen Geschrieben 27. Mai 2004 Hallo, ich kenne ebenfalls nur die Linux-Version von Snort. Die Dokumentation bzgl. der Regeln und des Aufbaus des Systems sollte für beide Versionen identisch sein. Für Windows gibt es zusätzlich noch ein paar Tips auf der Web-Seite von Snort: http://www.snort.org/docs/ Was ist denn das genaue Problem welches Du mit der Windows Version hast? Nic Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Milla Geschrieben 27. Mai 2004 Autor Teilen Geschrieben 27. Mai 2004 Hallo, wo setzt ihr den euern Snort ein ? - um lokale Server zu schützen?? - hinter der Internetfirewall ?? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
carstenj Geschrieben 28. Mai 2004 Teilen Geschrieben 28. Mai 2004 Hallo, wir (unsere Firma) setzen es als netzwerkbasiertes IDS ein, also um das Netzwerk zu schützen. Zu Testzwecken haben ich das erstmal vor die Firewall gestellt (was natürlich riskanter ist), einfach mal um zu sehen, was da so an vermeindlichen Angriffen reinkommt. Es sind natürlich zu 99,5% false positives, aber das ist ja auch eine Erkenntis. Es gibt aber auch nicht, falls du darauf hinauswolltest, das Sicherheitskonzept schlechthin. Du musst das immer individuell analysieren, planen und einrichten. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
taschentoast Geschrieben 28. Mai 2004 Teilen Geschrieben 28. Mai 2004 Hallo, wo setzt ihr den euern Snort ein ? - um lokale Server zu schützen?? - hinter der Internetfirewall ?? snort ist kein Mittel zum Schutz vor irgendetwas, sondern nur ein Erkennungsprogramm (das D in IDS ). Es gibt zwar einige Module für snort, die gewisse Intrusion Prevention Funktionalität bieten, aber das ist nicht das Haupteinsatzgebiet. Wo sollte/kann ein IDS eingesetzt werden? Als netzbasiertes IDS (was IMHO sinnvoller ist, als ein hostbasiertes): - Vor der Firewall, um zu erkennen was alles drauf prasselt. - Dahinter, um zu erkennen was durchkommt, bzw, was von innen nach außen will. - An wichtigen Netzwerk-Punkten (Einwahlserver etc.) um den Schindluder dort zu erkennen. Aber sei gewarnt, ein IDS verlangt sehrsehr viel Aufwand, wenn man es richtig betreiben möchte. Log-Files auswerten, Statistiken interpretieren, Pflege von Erkennungsregeln, false-positives und false-negatives aussortieren, usw... Viel Spaß taschentoast Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Milla Geschrieben 28. Mai 2004 Autor Teilen Geschrieben 28. Mai 2004 Ich möchte Snort auch gerne als netzwerkweites Erkennungstool nutzen... Nur gibt es da ein für mich momentan nicht lösbares Problem. Wo positioniere ich Snort, dass es alles (bzw. soviel wie möglich mitbekommt) Wir haben ein LAN Verteilt auf mehrere Gebäude, in jedem Haus 1-3 Switches Alle Switches sind über Glasfaser-Switche verbunden Alles Cisco Komponenten... Desweiteren haben wir noch zu einem abgelegenen Standort eine Standleitung ! Ins Internet kommen alle Zentrall über eine Firewall (PIX) So wie kann ich hier ein netzwerkweites IDS installieren?? Mir fällt momentan nichts dazu ein!! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
taschentoast Geschrieben 29. Mai 2004 Teilen Geschrieben 29. Mai 2004 Hallo, Ich möchte Snort auch gerne als netzwerkweites Erkennungstool nutzen... Nur gibt es da ein für mich momentan nicht lösbares Problem. Wo positioniere ich Snort, dass es alles (bzw. soviel wie möglich mitbekommt) ... Ins Internet kommen alle Zentrall über eine Firewall (PIX) So wie kann ich hier ein netzwerkweites IDS installieren?? Mir fällt momentan nichts dazu ein!! Ein snort vor die Firewall, einmal dahinter, und einmal da wo die Standleitung ins LAN kommt. Dann snort so umkonfigurieren, daß es die Alarme und Meldungen auf einen Log-Server schreibt. Das wäre die etwas aufwendigere Lösung (= teuer ) Alternativ: Vor der PIX eingesetzt, erkennt snort was vom bösen Internet auf die Firewall kommt. Dabei schreibt snort die Alarme in die Datenbank auf dem IDS Rechner. HTH taschentoast Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Milla Geschrieben 30. Mai 2004 Autor Teilen Geschrieben 30. Mai 2004 Aber eigentlich interessiert mich nicht wirklich was vom Internet auf die PIX kommt, sondern nur das was die PIX nicht abfängt!! (also dahinter) Gleichzeitig möchte ich aber interne ANgriffe erkennen können!! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
taschentoast Geschrieben 31. Mai 2004 Teilen Geschrieben 31. Mai 2004 Hi, Aber eigentlich interessiert mich nicht wirklich was vom Internet auf die PIX kommt, sondern nur das was die PIX nicht abfängt!! (also dahinter) Gleichzeitig möchte ich aber interne ANgriffe erkennen können!! Das mit dem snort hinter der PIX gestaltet sich einfach: Ein Ethernet Tap hinklemmen, daran einen snort Rechner mit 2 Netzwerkkarten (FullDuplex zum sniffen) anschließen und gut ist. Bei den internen Sachen solltest du dir überlegen, woher bzw. worauf die Angriffe erfolgen können. Ideal wäre z.B. ein zwentraler Switch mit Monitoring Port (kenn mich mit Ciscos nicht aus, haben wie sowas?) wo du den snort anschließen kannst. Ansonsten kommst du wohl um mehrere snort Kisten an den wichtigsten Kisten herum. Gruß taschentoast Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.