Hi
Jemand anders hat eine Grundinstallation von Snort mit Oinkmaster durchgeführt. Meine Aufgabe ist es diese Installation nun weiter in den produktiven Status zu übertragen sowie zu Pflegen.
Mein Wissen über Snort ist derzeit lückenhaft und veraltet. Ich lese mich gerade wieder ein. Zudem kenne ich das nur mit IPFW ( FreeBSD)
Welche Tools sind unter Debian (GNU Linux) geeignet nach Auswertung der Regeln automatisiert IPtables Regeln zu generieren?
snortsam?
weitere?
lg Darko
snort
- minimike
- Beiträge: 5594
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
snort
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft
Re: snort
Soweit ich weiß funktioniert der download über oinkmaster nicht mehr, bzw. muß man die rules beu snort kaufen und bezahlen. Es gibt eine Alternative, es gibt eine Art fork (bleedingsnort.com) und auch kostenlos die rules. Oder benutz suricata, es benutzt die gleichen rules wie snort oder snort_inline und ist eine Weiternetwicklung. Generell kann man sagen das snort schon Tod ist und große Impletierungen nicht lohnen.
Gruß
das brauchst du nur auf iptables umsetzen:
http://freebsd.rogness.net/snort_inline/
http://www.debian-administration.org/articles/318
suricata ist auch in den ports von Freebsd und kannst ja da deine Infos holen
Gruß
Gruß
das brauchst du nur auf iptables umsetzen:
http://freebsd.rogness.net/snort_inline/
http://www.debian-administration.org/articles/318
suricata ist auch in den ports von Freebsd und kannst ja da deine Infos holen
Gruß
Re: snort
Also ich weiss nicht, tot ist bestimmt was anderes.
Im Debian Exp-Repo gibt es die freie Version 2.9.x, auch die anderen 2.8.x-Versionen werden als Debian-Pakete gepflegt. Richtig ist allerdings, dass man für sehr aktuelle Rules ein kostenpflichtiges Abo haben muss. Um einen guten Grundschutz zu erreichen ist dies allerdings nicht notwendig. Gerade bei einem NIDS muss man die Rules umfänglich an seine eigenen Gegebenheiten anpassen und ich behaupte mal ganz locker aus der Hose heraus dass man sich selbst mit den alten Standard-Rules gut schützen kann. Aus der eigenen Erfahrung heraus sage ich mal, dass die Installation 10 Prozenz der Arbeit sind, die Anpassung locker 85 Prozent. Und 5 Prozent sind immer auch ein bisschen Glück ... IMHO ist eine snort / nagios3-Überwachung (oder Installation) / samhain / logcheck - Installation aus den Debian-Paketen für jeden Server empfehlenswert
aide, suricate und prelude kann man natürlich auch ausprobieren.
Im Debian Exp-Repo gibt es die freie Version 2.9.x, auch die anderen 2.8.x-Versionen werden als Debian-Pakete gepflegt. Richtig ist allerdings, dass man für sehr aktuelle Rules ein kostenpflichtiges Abo haben muss. Um einen guten Grundschutz zu erreichen ist dies allerdings nicht notwendig. Gerade bei einem NIDS muss man die Rules umfänglich an seine eigenen Gegebenheiten anpassen und ich behaupte mal ganz locker aus der Hose heraus dass man sich selbst mit den alten Standard-Rules gut schützen kann. Aus der eigenen Erfahrung heraus sage ich mal, dass die Installation 10 Prozenz der Arbeit sind, die Anpassung locker 85 Prozent. Und 5 Prozent sind immer auch ein bisschen Glück ... IMHO ist eine snort / nagios3-Überwachung (oder Installation) / samhain / logcheck - Installation aus den Debian-Paketen für jeden Server empfehlenswert
aide, suricate und prelude kann man natürlich auch ausprobieren.
Viele Grüße, ralfi
Niveau sieht von unten oft wie Arroganz aus ...
Niveau sieht von unten oft wie Arroganz aus ...
Re: snort
Auch die alten rules waren nur zum Teil kostenlos, es stimmt schon, man kann die rules auch per Handschreiben aber welcher Chef bezahlt das bzw. ist ja schon billiger die Dinger bei Snort zu kaufen und einzupflegen. Generell kann man über Sinn und Unsinn bei Snort streiten. Wer steht schon Nachts auf um Snort-alerts zu lesen... ich nicht und der größte Teil der alerts wird wohl auch ungelesen verschwinden dazu muß man die Gefahr auch kennen und die Regel passend setzen. Gute Nacht das schaffen ja nicht mal Antivirenhersteller. Muß aber jeder selbst wissen.
Gruß
Gruß