snort

Seite 1 von 2 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/snort_160203/page_1 - zur Vollversion wechseln!

kleinerChemiker schrieb am 15.03.2006 um 18:50

ich bin gerade dabei, einen kleinen heimserver auf debian-basis aufzusetzen. natürlich mach ich mir auch ein wenig gedanken über die sicherheit, da er direkt an netz gehen wird. jetzt bin ich auf snort gestoßen. ist das was für mich oder overkill? kompliziert zu konfigurieren? sonstige tips, infos wichtiges zu wissen?

folgendes wird voraussichtlich am server laufen
vdr (satreceiver&videorekorder)
samba
ssh
apache/php
mysql
mldonkey
webmin (aber nur, wenn ich ihn vorher mittels ssh starte)
vermutlich ein ftp

tia

MIK

DJ_Cyberdance schrieb am 15.03.2006 um 23:57

Snort ist relativ simpel zu konfigurieren, meldet aber eine ganze Menge false positives. Dh. bringt nur was, wenn Du auch eine Ahnung hast, was die Meldungen von Snort bedeuten.

Wenn Dus sicher haben willst, würd ich mir auf alle Fälle iptables anschauen und damit eine passende Firewall schrauben. Wenn Du so richtig paranoid bist, kannst Dus mit mehreren Rechnern versuchen. Das müssen nicht zwingend mehrere physikalische Rechner sein, Du kannst UML (User Mode Linux) verwenden, um mehrere Linux-Instanzen auf einem Rechner laufen zu lassen. Dann kannst Du eine wunderbare Firewall mitsamt DMZ etc. auf nahezu beliebig vielen virtuellen Rechnern einrichten.

Um nochmal auf die Frage zurückzukommen, wenn Du Ressourcen frei hast, dann verwend Snort, schaden tuts bestimmt nicht, aber mach alle Ports mit iptables von außen zu und erlaub nur was nötig ist.

kleinerChemiker schrieb am 16.03.2006 um 10:27

danke mal für die infos.

paranoid bin ich eigentlich nicht, aber da ich eigentlich vor habe, am server auch alle wichtigen daten zu speichern mittels netzlaufwerk (hat ein 1tb raid5) will ich nicht offen wie ein scheunentor sein. eigetnlich gehts mir weniger um meldungen, sondern daß der rechner zu ist. z.b. daß auch bei einem portscan die ip gleich mal geblockt wird usw.

nachdem ich die doks angeschaut habe, frag ich mich immer noch, was der unterschied zwischen inline und ids mode ist. einzige was ich rausgefunden habe, daß inline sich bei iptables einklinkt. was ist jetzt "besser"? ich vermute mal inline, da ich dann iptable anweisen kann die packets zu droppen, oder?

Crash Override schrieb am 17.03.2006 um 10:09

Mach das lieber mit nem IPCop als Firewall davor. Alle Ports die gebraucht werden kannst du weiterleiten. Das ruleset von IPCop sollte für deine Anforderungen passen und snort ist vorinstalliert.

kleinerChemiker schrieb am 17.03.2006 um 10:21

ich hab aber keinen rechner davor und ein weiterer pc ist keine option.

eigentlich such ich ja nur ne firewall, die nen einbruchsversuch erkennt und blockt. klingt wohl einfacher, als was es ist *Gg*

Crash Override schrieb am 17.03.2006 um 12:41

Snort ist nur ein IDS. Das hat mit firewall nichts zu tun. Und ne Firewall ist nicht ein Stück Software auf einem Rechner sondern eine dedizierte Maschiene.

master_burn schrieb am 17.03.2006 um 13:19

Zitat von Crash Override
Snort ist nur ein IDS. Das hat mit firewall nichts zu tun. Und ne Firewall ist nicht ein Stück Software auf einem Rechner sondern eine dedizierte Maschiene.

Wir alle haben "Firewalls" installiert und niemand hat dafür ne extra maschine :rolleyes:

Im professionellen Berich natürlich, .. aber als homeuser is das dann wirklich overkill.
btw soweit ichs verstanden hab hat er ne worksatation (oder mehrere) und einen fileserver, der nebenbei noch gateway spielt. Da dann noch ne extra maschine dazwischen nur für a firewall? unnötig

@threadstarter .. sollte portblockierung ned reichen bei linux? damit sollten eh 99% der Angriffe abgewehrt werden..

kleinerChemiker schrieb am 17.03.2006 um 14:25

also,...*gg*
ich hab nen wlanrouter. an dem hängt mien pc, laptop und eben der server. da der raouter leider beschissen ist, ich aber kein geld für nen neuen habe, muß ich diese pseudo-dmz auf den server schalten. sprich alles von außen geht direkt auf den server.

ports zumachen solllte schon reichen, nur wenn es auch die möglichkeit, daß die firewall auch gleich angriffe erkennt und darauf reagiert (ip blocken, loggen) wäre es halt nett. werde vermutlich auch bastille mal drüberlaufen lassen und mir die vorschläge ansehen.

moidaschl schrieb am 17.03.2006 um 15:33

ip blocken kann netfilter automatisch

DJ_Cyberdance schrieb am 19.03.2006 um 00:54

Zitat von Crash Override
Mach das lieber mit nem IPCop als Firewall davor. Alle Ports die gebraucht werden kannst du weiterleiten. Das ruleset von IPCop sollte für deine Anforderungen passen und snort ist vorinstalliert.

Meine Güte, Du läßt ja wirklich keine Gelegenheit aus für IPCop zu werben... Prinzipiell stimmt das mit dem dedizierten Rechner, aber wie ich schon eingangs erwähnt habe, ist es für den Privatparanoiker völlig ausreichend, einen virtuellen Rechner zu verwenden. Mittels SKAS ist der Zugriff auf das Hostsystem nicht möglich, wie gesagt, UML tuts auch.

Wer nicht so paranoid ist kann seine paar iptables-Rules auch direkt am Server laufen lassen. Klar ist das nicht so sicher, aber wenn wir uns ehrlich sind, ist es für den Durchschnitts-Heim-Server ausreichend. Nichts kommt rein außer. (Mir auch nicht sympathisch, aber objektiv betrachtet muß man zu diesem Schluß kommen.) Zusätzlichen Schutz bieten Port knocking Daemons.

Und wens glücklich macht, der kann auch IPCop verwenden. Das ist aber IMO ein gewaltiger Overkill, die paar iptables-Rules, die man für eine gute Firewall braucht, kann man sich auch so aneignen und fressen nicht sinnlose Resourcen. (Meine Firewall _ist_ ein dedizierter Rechner, der von CF bootet und alle Rules im RAM hat - plus Ramdrive, insgesamt satte 64MB. System ist ein Minimal-Debian mit ~10MB. Glaub nicht, daß IPCop auch nur irgendwas besser kann.)

Es ist halt DAU-freundlich, aber sicher nicht ressourcensparend. Auch vom Sicherheitsaspekt überzeugt mich IPCop nicht - denn damit IPCop läuft, müssen in der Regel daufreundlicherweise auch Services wie http-Server laufen. Richtigerweise sagst Du, daß eine Firewall ein dedizierter Rechner sein sollte. Genauso richtig ist aber auch, daß auf diesem Rechner möglichst wenig Services laufen sollen - und möglichst kein Tool auf diesem Rechner vorhanden ist, das überflüssig ist. Jeder zusätzliche Service bietet einen zusätzlichen potentiellen Angriffspunkt.

Sei mir bitte nicht böse, IPCop hat seine Daseinsberechtigung und seine Vorteile, aber eine professionelle Firewall ersetzt es in meinen Augen nicht.

mr.nice. schrieb am 06.01.2014 um 17:37

Hallo Leute, ich möchte mit zwei Raspberry Pis mit Archlinux zwei Snort Sensoren als IDS (Intrusion Detection System) einsetzen, einen vor und einen nach der klassischen IPS-Firewall Richtung WAN-Seite.

Hat jemand von euch bereits damit Erfahrung?
Ich habe zwar eine Installationsanleitung für die Raspberry Pi Snort Box von instructibles.com, aber mit Archlinux und Snort kenne ich mich noch nicht wirklich aus.

Es wäre interessant zu erfahren wie gut das funktioniert, in erster Linie stellt sich mir die Frage, ob man für den Zeitaufwand eine gut funktionierende Lösung erhalten kann, oder ob man nicht vielleicht doch lieber auf ein fixfertiges IDS setzen sollte.

http://www.instructables.com/id/Ras...Detection-Syst/

Crash Override schrieb am 06.01.2014 um 17:52

Was soll dir snort vor der Firewall zeigen? Wie man schnell die Logs zumüllt? Du willst wissen was durch die Firewall durchkommt, nicht was daran verpufft. Hinter der Firewall bringt es auch nur was, wenn man dafür Sorge trägt dass alles dort ankommt was reinkommt. (z.B.: monitoring Port am switch und die Netzwerkkarte im promisc. Modus)

mr.nice. schrieb am 06.01.2014 um 17:55

Erstmal geht es mir darum Erfahrungen mit IPS/IDS auf Linux-Basis zu sammeln, deswegen will ich einerseits die Möglichkeit haben alles zu sehen und dann eben noch das, was durch die ASA durchgeht. Also das Setup wäre nicht für den Produktiveinsatz gedacht, sondern nur zum schauen und lernen.

Nico schrieb am 07.01.2014 um 08:18

warum machst du es nicht in einer VM wenns nur zum lernen is?

mr.nice. schrieb am 07.01.2014 um 16:59

Guter Einwand Nico, ich glaub' ich will einfach etwas basteln. So eine Raspberry Pi Snort Firewall mit einem oder mehreren Sensoren, platzierbar im Netzwerk wo man sie braucht, das scheint mir ein gutes Projekt zu sein. Ich berichte wenn es Neuigkeiten gibt.