snort

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
minimike
Beiträge: 5567
Registriert: 26.03.2003 02:21:19
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Köln
Kontaktdaten:

snort

Beitrag von minimike » 01.11.2011 17:37:45

Hi

Jemand anders hat eine Grundinstallation von Snort mit Oinkmaster durchgeführt. Meine Aufgabe ist es diese Installation nun weiter in den produktiven Status zu übertragen sowie zu Pflegen.

Mein Wissen über Snort ist derzeit lückenhaft und veraltet. Ich lese mich gerade wieder ein. Zudem kenne ich das nur mit IPFW ( FreeBSD)

Welche Tools sind unter Debian (GNU Linux) geeignet nach Auswertung der Regeln automatisiert IPtables Regeln zu generieren?
snortsam?
weitere?

lg Darko
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown"
I am an Veteran Unix Admin. Don't hesitate about to support Devuan. See https://devuan.org/ for more details.

Flex6
Beiträge: 342
Registriert: 27.10.2006 16:08:10
Wohnort: Görlitz

Re: snort

Beitrag von Flex6 » 01.12.2011 10:43:50

Soweit ich weiß funktioniert der download über oinkmaster nicht mehr, bzw. muß man die rules beu snort kaufen und bezahlen. Es gibt eine Alternative, es gibt eine Art fork (bleedingsnort.com) und auch kostenlos die rules. Oder benutz suricata, es benutzt die gleichen rules wie snort oder snort_inline und ist eine Weiternetwicklung. Generell kann man sagen das snort schon Tod ist und große Impletierungen nicht lohnen.
Gruß
das brauchst du nur auf iptables umsetzen:
http://freebsd.rogness.net/snort_inline/
http://www.debian-administration.org/articles/318

suricata ist auch in den ports von Freebsd und kannst ja da deine Infos holen
Gruß

ralfi
Beiträge: 264
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: snort

Beitrag von ralfi » 01.12.2011 11:15:51

Also ich weiss nicht, tot ist bestimmt was anderes.

Im Debian Exp-Repo gibt es die freie Version 2.9.x, auch die anderen 2.8.x-Versionen werden als Debian-Pakete gepflegt. Richtig ist allerdings, dass man für sehr aktuelle Rules ein kostenpflichtiges Abo haben muss. Um einen guten Grundschutz zu erreichen ist dies allerdings nicht notwendig. Gerade bei einem NIDS muss man die Rules umfänglich an seine eigenen Gegebenheiten anpassen und ich behaupte mal ganz locker aus der Hose heraus dass man sich selbst mit den alten Standard-Rules gut schützen kann. Aus der eigenen Erfahrung heraus sage ich mal, dass die Installation 10 Prozenz der Arbeit sind, die Anpassung locker 85 Prozent. Und 5 Prozent sind immer auch ein bisschen Glück ... IMHO ist eine snort / nagios3-Überwachung (oder Installation) / samhain / logcheck - Installation aus den Debian-Paketen für jeden Server empfehlenswert

aide, suricate und prelude kann man natürlich auch ausprobieren.
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

Flex6
Beiträge: 342
Registriert: 27.10.2006 16:08:10
Wohnort: Görlitz

Re: snort

Beitrag von Flex6 » 02.12.2011 17:48:52

Auch die alten rules waren nur zum Teil kostenlos, es stimmt schon, man kann die rules auch per Handschreiben aber welcher Chef bezahlt das bzw. ist ja schon billiger die Dinger bei Snort zu kaufen und einzupflegen. Generell kann man über Sinn und Unsinn bei Snort streiten. Wer steht schon Nachts auf um Snort-alerts zu lesen... ich nicht und der größte Teil der alerts wird wohl auch ungelesen verschwinden dazu muß man die Gefahr auch kennen und die Regel passend setzen. Gute Nacht das schaffen ja nicht mal Antivirenhersteller. Muß aber jeder selbst wissen.
Gruß

ralfi
Beiträge: 264
Registriert: 02.06.2011 11:16:11
Wohnort: Brandenburg

Re: snort

Beitrag von ralfi » 03.12.2011 10:37:55

Das ist schon teilweise nicht so ganz falsch, aber trifft natürlich auch auf die von Dir empfohlene Software zu ...
Viele Grüße, ralfi

Niveau sieht von unten oft wie Arroganz aus ...

Flex6
Beiträge: 342
Registriert: 27.10.2006 16:08:10
Wohnort: Görlitz

Re: snort

Beitrag von Flex6 » 03.12.2011 11:52:50

Ja, die Aussage war generell zu dem Thema. Ich will das auch nicht ins negative ziehen, es ist wie mit allen eben keine 1000% Sicherheit.

Antworten