Intrusion Detection Systeme u. portsentry Einstaz

Rund um die Sicherheit des Systems und die Applikationen
bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Intrusion Detection Systeme u. portsentry Einstaz

Post by bungeebug » 2004-04-19 21:29

Hi,

ich muss mich mal wieder an euch wenden. Dies mal geht es um IDS.
Ich habe hier im Forum recht viele Beiträge über "snort" gefunden. Was bei mir aber nicht richtig zu funktioniern scheint. Nun habe ich mal bei google gesucht und "firestorm ids" gefunden. Nun ist meine Frage, wer hat Erfahrung damit gemacht oder könnt ihr ein anderes Empfehlen?
Welches ist das "beste", welches sollte man auf keinen Fall einsetzen?

MfG
BungeeBug

Edit
====

Titel geupdatet da nun auch recht stark über portsentry geredet wird.
Last edited by bungeebug on 2004-04-20 22:26, edited 1 time in total.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by captaincrunch » 2004-04-19 21:34

Gegenfrage: was sind deine Anforderungen an ein solches System?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by bungeebug » 2004-04-19 22:06

Hi,

da ich warscheinlich nicht zu der Hauptzielgruppe wirklich übler Hacker gehöre und mich wohl mehr mit ScriptKiddys rumärgern muss, denke ich reicht es wenn das System einen Ã?berblick über die gelaufenden Angriffe liefert. Ich brauche also kein HiEnd System, das Fettnäpfchen mit sich bringt und ganze Netzeemuliern kann. Eigendlich wär "snort" die Lösung die ich anstreben würde nur klappt das ja leider nicht.

floschi
Userprojekt
Userprojekt
Posts: 3247
Joined: 2002-07-18 08:13
Location: München

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by floschi » 2004-04-20 08:04

Zum einen hättest du die Möglichkeit, genau zu beschreiben, was an snort nicht klappt.

Zum anderen gibt's auch viel kleinere Tools, wie z.B. portsentry, logcheck, logwatch usw., die rein reaktiv agieren und zum Teil nur berichten.

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by bungeebug » 2004-04-20 14:14

Hi,

mein Problem bei snort ist, dass es nicht loggen will. Ich habe es nach dem Tutorial hier aus dem Board installiert und eigendlich relativ schnell mit einem Alarm gerechnet da LogCheck sehr aktiv ist.

Ich habe jetzt zusätzlich portsentry noch installiert.

Sollte ich jetzt trotzdem noch ein IDS ranholen oder ist das als rein passive Sicherung genug?

P.S.: Welche Ports muss man beobachten? Oder sind die Einstellungen die portsentry mit bringt ok?

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by captaincrunch » 2004-04-20 14:37

Ohne Fehelermeldungen oder deine Konfiguration wird man dir bei Snort wohl kaum weiterhelfen können.
Sollte ich jetzt trotzdem noch ein IDS ranholen oder ist das als rein passive Sicherung genug?
Kommt auf dein restliches Sicherheitskonzept an. Bedenke dabei, dass die Mehrbelastung durch ein IDS wie Snort nicht gerade unerheblich für die Kiste sein kann, da jedes Netzwerkpaket untersucht wird.
P.S.: Welche Ports muss man beobachten? Oder sind die Einstellungen die portsentry mit bringt ok?
Die, die durch die Dienste, die du benötigst geöffnet sind.
Zu Portsentry sage ich jetzt mal nichts, meine Haltung dazu habe ich hier schon zu oft breitgetreten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: Intrusion Detection Systeme u. portsentry Einstaz

Post by bungeebug » 2004-04-20 22:25

Hi,

an Performance ist mir sehr viel gelegen da der Server "nur" ein P3 500 ist. Also da ist nichts mit dicken Leistungsreserven.

Wie ist es denn wenn ich portsentry auf einen Port achten lasse, der schon von sagen wir FTPd benutzt wird. Klappt das trotzdem? Eigendlich sollte das ja nicht gehen da der Prot schon benutzt wird oder arbeitet portsentry so das es sich automatisch dazwischen schalten kann ohne irgendwelche Nebenwirkungen zu produziern?