Snort ?!?
Snort ?!?
Guten Abend,
ich habe schon etwas länger vor mich mit IDS zu beschäftigen, da dieses System jedoch noch nicht sehr ausgereift ist, bin ich da etwas vorsichtig. Hab bisher schon ziemlich viel über Snort gehört, mich bisher jedoch noch nicht damit befasst.
Könnt ihr mir vielleicht eure Erfahrungen mit Snort bzw. einem anderen IDS mitteilen ? Wäre euch sehr dankbar dafür...
Gruß Marco
ich habe schon etwas länger vor mich mit IDS zu beschäftigen, da dieses System jedoch noch nicht sehr ausgereift ist, bin ich da etwas vorsichtig. Hab bisher schon ziemlich viel über Snort gehört, mich bisher jedoch noch nicht damit befasst.
Könnt ihr mir vielleicht eure Erfahrungen mit Snort bzw. einem anderen IDS mitteilen ? Wäre euch sehr dankbar dafür...
Gruß Marco
Computer sind nichts anderes als in Silizium geätzte Heimtücke!
- Michael Rüttger
- Michael Rüttger
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
Snort an und für sich ist IMO ziemlich gut, was man zusätzlich braucht ist eine gute Logauswertung, sonst bringt einem die ganze IDS nichts. Auch ist Snort IMHO ziemoich pingelig, was den Default angeht. Wenn man da nicht ein paar (harmlose...) Regeln deaktiviert, wird man mit Meldungen erschlagen... Man glaubt gar nicht, was im Internet so alles vor sich geht...
Patrick
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
- pdreker
- Beiträge: 8298
- Registriert: 29.07.2002 21:53:30
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Nürnberg
SnortSnarf habe ich 'mal benutzt, AcidLab kann IIRC auch Snort (und iptables) Logs auswerten.
Auf der Snort Homepage gibt es in der link Sektion ein paar Hinweise...
Patrick
Auf der Snort Homepage gibt es in der link Sektion ein paar Hinweise...
Patrick
Definitely not a bot...
Jabber: pdreker@debianforum.de
Jabber: pdreker@debianforum.de
-
- Beiträge: 180
- Registriert: 27.01.2002 21:48:08
- Lizenz eigener Beiträge: GNU General Public License
Direkt von snort.org oder per apt-get.
http://www.snort.org/dl/contrib/data_analysis/acid/
Gruss
Jochen
http://www.snort.org/dl/contrib/data_analysis/acid/
Gruss
Jochen
Moinsen,
ACID: http://acidlab.sourceforge.net/
Und unter http://www.snort.org/docs/ findest Du auch mindestens eine Anleitung.
Torsten
ACID: http://acidlab.sourceforge.net/
Und unter http://www.snort.org/docs/ findest Du auch mindestens eine Anleitung.
Torsten
Bei snort sind doch schon ein Schwung Regeln dabei. Müssten unter ~/rules/ zu finden sein.
Und die müssen auch nicht in die DB. Denn snort läuft normalerweise auch ohne DB. Der Pfad zu den Regeln wird eigentlich auch über die snort.conf angegeben. Es ist auch eine recht gute config mit dabei.
Logging in eine DB ist ohnehin nur ein Feature zur umgänglichen Auswertung der Daten.
Dabei sollte man aber beachten, dass snort NICHT Multithreaded ist. Somit muss auch snort im schlimmsten Fall auf die SB warten, falls es mal Probleme beim Schreiben in die DB geben sollte.
Die schnellste Variante ist wohl das Logging in binärer Form.
Ich habe snort unter Volllast getestet. Sprich, ich habe extrem große und viele Dateien übers Netz geschoben. Snort gönnte sich dabei eine CPU-Auslastung von bis zu 80% auf einem Dual PIII 933.
Grüße
Torsten
Und die müssen auch nicht in die DB. Denn snort läuft normalerweise auch ohne DB. Der Pfad zu den Regeln wird eigentlich auch über die snort.conf angegeben. Es ist auch eine recht gute config mit dabei.
Logging in eine DB ist ohnehin nur ein Feature zur umgänglichen Auswertung der Daten.
Dabei sollte man aber beachten, dass snort NICHT Multithreaded ist. Somit muss auch snort im schlimmsten Fall auf die SB warten, falls es mal Probleme beim Schreiben in die DB geben sollte.
Die schnellste Variante ist wohl das Logging in binärer Form.
Ich habe snort unter Volllast getestet. Sprich, ich habe extrem große und viele Dateien übers Netz geschoben. Snort gönnte sich dabei eine CPU-Auslastung von bis zu 80% auf einem Dual PIII 933.
Grüße
Torsten