Eure Meinung: Snort, Claymore usw.

[nautilusiii]

Hi,

ich bin derzeit am überlegen wie ich meine Kiste absichere.
Wer kann mir kurz die IDS und Firewall systeme auflisten die "hipp" sind, wo liegen der Unterschiede, was sollte man minimal machen ?

Was ich bisher gelesen habe:
Snort scheint mir ne eierlegende Wollmilchsau zu sein und das Setup würde wohl dementsprechend grausig werden (und ein schlecht installiertes IDS ist ja wohl wir garkein IDS).

Die anderen Tools die halt "nur" ein MD5 Digest von best. Files erstellen sollten doch für den Anfang auch reichen, oder (zusammen mit ipchains) ?
Eines dieser Tools wäre wohl Claymore (gibts bessere ?).

Also, würdet ihr mir dazu raten ein Claymore + ipchains Setup (oder was ähnliches) zu fahren oder sollte ich besser gleich zu Snort greifen ?

Danke für Eure Meinungen (Alternativlösungen sind auch willkommen, will einfach nur Meinungen hören).

[nautilusiii]

Aso, falls es keiner kennt: Claymore ist sowas wie Tripwire...

Wie gesagt, derzeit denke ich Tripwire ist genau was ich suche, da ein Snort eh verlangt dass ich umgehend auf Alerts reagiere und das kann ich nicht...
Oder seh ich was falsch ?

[cschwede]

Morgen,

Aso, falls es keiner kennt: Claymore ist sowas wie Tripwire...

Schon richtig, tripwire ist aber deutlich leistungsfähiger.

Wie gesagt, derzeit denke ich Tripwire ist genau was ich suche, da ein Snort eh verlangt dass ich umgehend auf Alerts reagiere und das kann ich nicht...
Oder seh ich was falsch ?

Snort verlangt überhaupt nicht, das Du reagierst. Genausowenig wie tripwire oder claymore. Nur: wenn Du nicht reagieren kannst/willst, bringt Dir auch ein IDS nichts, oder? Außerdem ist tripwire ein HIDS und Snort ein NIDS, sprich zwei grundverschiedene Sachen.

Also, würdet ihr mir dazu raten ein Claymore + ipchains Setup (oder was ähnliches) zu fahren oder sollte ich besser gleich zu Snort greifen ?

Nochmal: snort hat eigentlich nichts mit claymore, tripwire oder ipchains gemeinsam. Nochmal Doku lesen!
Und da ich davon ausgehe, das Du einen Rootserver hast: was bringt Dir ipchains bzw. generell ein Paketfilter?

Christian

[captaincrunch]

Mir widerstrebt es zwar ganz massiv, hier Empfehlungen auszusprechen, weil dann wieder dutzende ohne Sinn und Verstand losrennen, das Zeugs installieren (so sie es denn hinbekommen), und sich danach wundern, warum das ganze gar nicht so toll ist (SCNR):

http://www.prelude-ids.org/index.php3

ist ein "hybrides" IDS, kann also sowohl HIDS als auch NIDS (auch mit mehreren Sensoren) spielen, als auch mit Snort-Rules gefüttert werden, was es IMHO zum besten Tool zur Zeit macht.

Zum Rest äußere ich mich mal ganz bewusst nicht. ;)

[dea]

"Lebt" Prelude denn überhaupt noch? Ich werde irgendwie das Gefühl nicht los, dass sich da nicht mehr viel tut :(

Mein persönlicher Ansatz ist ja eher, die Finger von eierlegenden Wollmilchsäuen zu lassen. Also:

HIDS: samhain (http://la-samhna.de)
NIDS: snort

OK - bei beiden muss man schon sehr genau wissen, was man tut. Es sind definitiv keine Leichtgewichte und erst recht keine Anfängertools. Aber beide haben mächtig Dampf auf dem Rohr :-D

[captaincrunch]

Auch wenn bei Prelude seit ca. 3 Montane nicht viel passiert ist, ist das Priojekt AFAIK alles andere als tot.

Mein persönlicher Ansatz ist ja eher, die Finger von eierlegenden Wollmilchsäuen zu lassen

Im Normalfall würde ich dir voll und ganz zustimmen, würde Prelude allerdings definitiv nicht empfehlen, wenn ich es nicht für eine verdammt gute Sau halten würde. ;)