Hi,
ich muss mich mal wieder an euch wenden. Dies mal geht es um IDS.
Ich habe hier im Forum recht viele Beiträge über "snort" gefunden. Was bei mir aber nicht richtig zu funktioniern scheint. Nun habe ich mal bei google gesucht und "firestorm ids" gefunden. Nun ist meine Frage, wer hat Erfahrung damit gemacht oder könnt ihr ein anderes Empfehlen?
Welches ist das "beste", welches sollte man auf keinen Fall einsetzen?
MfG
BungeeBug
Edit
====
Titel geupdatet da nun auch recht stark über portsentry geredet wird.
Intrusion Detection Systeme u. portsentry Einstaz
Intrusion Detection Systeme u. portsentry Einstaz
Last edited by bungeebug on 2004-04-20 22:26, edited 1 time in total.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Intrusion Detection Systeme u. portsentry Einstaz
Gegenfrage: was sind deine Anforderungen an ein solches System?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Intrusion Detection Systeme u. portsentry Einstaz
Hi,
da ich warscheinlich nicht zu der Hauptzielgruppe wirklich übler Hacker gehöre und mich wohl mehr mit ScriptKiddys rumärgern muss, denke ich reicht es wenn das System einen Ã?berblick über die gelaufenden Angriffe liefert. Ich brauche also kein HiEnd System, das Fettnäpfchen mit sich bringt und ganze Netzeemuliern kann. Eigendlich wär "snort" die Lösung die ich anstreben würde nur klappt das ja leider nicht.
da ich warscheinlich nicht zu der Hauptzielgruppe wirklich übler Hacker gehöre und mich wohl mehr mit ScriptKiddys rumärgern muss, denke ich reicht es wenn das System einen Ã?berblick über die gelaufenden Angriffe liefert. Ich brauche also kein HiEnd System, das Fettnäpfchen mit sich bringt und ganze Netzeemuliern kann. Eigendlich wär "snort" die Lösung die ich anstreben würde nur klappt das ja leider nicht.
Re: Intrusion Detection Systeme u. portsentry Einstaz
Zum einen hättest du die Möglichkeit, genau zu beschreiben, was an snort nicht klappt.
Zum anderen gibt's auch viel kleinere Tools, wie z.B. portsentry, logcheck, logwatch usw., die rein reaktiv agieren und zum Teil nur berichten.
Zum anderen gibt's auch viel kleinere Tools, wie z.B. portsentry, logcheck, logwatch usw., die rein reaktiv agieren und zum Teil nur berichten.
Re: Intrusion Detection Systeme u. portsentry Einstaz
Hi,
mein Problem bei snort ist, dass es nicht loggen will. Ich habe es nach dem Tutorial hier aus dem Board installiert und eigendlich relativ schnell mit einem Alarm gerechnet da LogCheck sehr aktiv ist.
Ich habe jetzt zusätzlich portsentry noch installiert.
Sollte ich jetzt trotzdem noch ein IDS ranholen oder ist das als rein passive Sicherung genug?
P.S.: Welche Ports muss man beobachten? Oder sind die Einstellungen die portsentry mit bringt ok?
mein Problem bei snort ist, dass es nicht loggen will. Ich habe es nach dem Tutorial hier aus dem Board installiert und eigendlich relativ schnell mit einem Alarm gerechnet da LogCheck sehr aktiv ist.
Ich habe jetzt zusätzlich portsentry noch installiert.
Sollte ich jetzt trotzdem noch ein IDS ranholen oder ist das als rein passive Sicherung genug?
P.S.: Welche Ports muss man beobachten? Oder sind die Einstellungen die portsentry mit bringt ok?
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: Intrusion Detection Systeme u. portsentry Einstaz
Ohne Fehelermeldungen oder deine Konfiguration wird man dir bei Snort wohl kaum weiterhelfen können.
Zu Portsentry sage ich jetzt mal nichts, meine Haltung dazu habe ich hier schon zu oft breitgetreten.
Kommt auf dein restliches Sicherheitskonzept an. Bedenke dabei, dass die Mehrbelastung durch ein IDS wie Snort nicht gerade unerheblich für die Kiste sein kann, da jedes Netzwerkpaket untersucht wird.Sollte ich jetzt trotzdem noch ein IDS ranholen oder ist das als rein passive Sicherung genug?
Die, die durch die Dienste, die du benötigst geöffnet sind.P.S.: Welche Ports muss man beobachten? Oder sind die Einstellungen die portsentry mit bringt ok?
Zu Portsentry sage ich jetzt mal nichts, meine Haltung dazu habe ich hier schon zu oft breitgetreten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: Intrusion Detection Systeme u. portsentry Einstaz
Hi,
an Performance ist mir sehr viel gelegen da der Server "nur" ein P3 500 ist. Also da ist nichts mit dicken Leistungsreserven.
Wie ist es denn wenn ich portsentry auf einen Port achten lasse, der schon von sagen wir FTPd benutzt wird. Klappt das trotzdem? Eigendlich sollte das ja nicht gehen da der Prot schon benutzt wird oder arbeitet portsentry so das es sich automatisch dazwischen schalten kann ohne irgendwelche Nebenwirkungen zu produziern?
an Performance ist mir sehr viel gelegen da der Server "nur" ein P3 500 ist. Also da ist nichts mit dicken Leistungsreserven.
Wie ist es denn wenn ich portsentry auf einen Port achten lasse, der schon von sagen wir FTPd benutzt wird. Klappt das trotzdem? Eigendlich sollte das ja nicht gehen da der Prot schon benutzt wird oder arbeitet portsentry so das es sich automatisch dazwischen schalten kann ohne irgendwelche Nebenwirkungen zu produziern?