8
Intrusion Detection System Snort für kleines LAN
Hallo,
nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.
Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.
http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf
Ich hätte folgende Fragen:
- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?
Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html
Danke für eure Hilfe.
Gr. I.
nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.
Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.
http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf
Ich hätte folgende Fragen:
- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?
Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html
Danke für eure Hilfe.
Gr. I.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 174953
Url: https://administrator.de/contentid/174953
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Alles was da steht ist soweit richtig. Snort ist regelbasierend, d.h. du musst es kontinuierlich pflegen oder über einen kleinen Obulus dir immer automatisch die Regelsätze runterladen. Alle Small und Midrange IDS Systeme (Out of the Box Lösungen) ist Snort auf einer gehärteten Linux Appliance und Geld wird mit der Wartung und den Regelsätzen verdient.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Danke Aqui,
informativ wie immer.
Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.
Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.
Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.
Lohnt es sich der Aufwand mit diesem Equipment?
Wenn es so geht:
- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?
kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen?
Gr. I.
informativ wie immer.
Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.
Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.
Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.
Lohnt es sich der Aufwand mit diesem Equipment?
Wenn es so geht:
- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?
kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen?
Gr. I.
Eine mögliche Lösung heißt,
www.ipfire.org
Sorry für die Werbung.
www.ipfire.org
Sorry für die Werbung.
Ist ja legitim....
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer
Danke Aqui,
dann muss ich wohl oder über investieren.
Gr. I.
(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert)
dann muss ich wohl oder über investieren.
Gr. I.
(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert
)
Ja, als pfSense Plugin rennt das natürlich auch. Da musst du aber mal sehen wie das ALIX das verkraftet aus Performnce Sicht. Also immer mal ein Auge auf die CPU Last halten
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Sinnvollerweise sollte ich dann mindestens ein Netbook mit einem fertigen Snorby-Image (auf Ubuntu-Basis) bzw. mit einem managebaren Gbit.Switch nehmen.
Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".
Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.
Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.
Sehe ich die Sache richtig?
Gr. I.
EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx
Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".
Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.
Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.
Sehe ich die Sache richtig?
Gr. I.
EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx
