Intrusion Detection System

[Mr. Poopman]

Hallo!

Ich teste gerade ein Sicherheitskonzept in meiner Bachelor-Arbeit. Die Theorie ist auch soweit klar, doch bei der Umsetzung in die Praxis hapert's gerade:

In dem Testnetz nutzten ich die Firewall Gaunlet (lizenziert) und das IDS CyberCop Monitor (30Tage-Demo) - beides von NAI.

Hat einer von Euch Ahnung, wie man neue Signaturen beim CyberCop Monitor erstellt? Laut Beschreibung können nur Signaturen zu einer Security Policy ergänzt werden. Die Möglichkeit zur Erstellung einer komplett neuen Signatur finde ich leider nicht. Da im Labor Angriffe auf beliebigen TCP-Ports (z.B. 8080 etc.) mittels (erst einmal nur) Back Orifice 2000 simuliert bzw. durchgeführt werden, ist es wirklich wichtig, dass mir eine Signatur passend zu Back Orifice 2000 zur Verfügung steht. Doch die bekomme ich nicht hin!

Ich hoffe, jemand von Euch kann mir bei der Erstellung einer Signatur helfen. Das wäre auf jeden Fall super nett.

[Mr. Poopman]

Das Problem hat sich (fast) von selber gelöst! CyberCop Monitor meldet zwar keine Back Orifice 2000 Angriffe, verhindert aber das Weiterleiten von Daten mit Back Orifice 2000 Signatur.

Wer mir trotzdem noch etwas zu diesem Thema mitteilen möchte, schicke mir bitte eine Mail an 8menne@informatik.uni-hamburg.de.

Herzlichen Dank!

CU in the Future!

[Bako]

Auf Wunsch von InDz geschlossen...

@DevilDawn, McL:

Ich habs selber geschlossen, da InDz mich direkt drauf angesprochen hat (ich kenne ihn persönlich). Nicht böse sein.