istike2
Goto Top

Intrusion Detection System Snort für kleines LAN

Hallo,

nach dem ich hier vor habe pfSense als FW einzusetzen, wollte ich mir noch weitere Komponente für eine vollständige(re) Sicherheit anschauen.

Snort wird im Allgmeinen in einem breiten Kreis als IDS verwendet.

http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf

Ich hätte folgende Fragen:

- lohnt es sich der Aufwand mit einem IDS?
- benutzt ihr selbst ähnlichen Systeme?
- gibt es out-of-the-box-Lösungen?

Eine Meinung: http://www.pro-linux.de/artikel/1/45/snort.html

Danke für eure Hilfe.

Gr. I.

Content-Key: 174953

Url: https://administrator.de/contentid/174953

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: aqui
aqui 19.10.2011 um 18:06:17 Uhr
Goto Top
Alles was da steht ist soweit richtig. Snort ist regelbasierend, d.h. du musst es kontinuierlich pflegen oder über einen kleinen Obulus dir immer automatisch die Regelsätze runterladen. Alle Small und Midrange IDS Systeme (Out of the Box Lösungen) ist Snort auf einer gehärteten Linux Appliance und Geld wird mit der Wartung und den Regelsätzen verdient.
Nochwas. Der Snort Server verlangt natürlich Datenströme in einem Netzwerk komplett zu sehen. Du musst also zwingend einen Switch haben der managebar ist und Port Mirroring supportet. Ohne das kannst du das gleich vergessen.
Alternative ist ein Switch der NetFlow oder SFlow supportet was du dann an einen Snort Host schickst. Das erspart das Mirroring und den Einsatz mehrere Probes wenn du VLANs oder unterschiedliche IP Segmente hast.
Snort kann man sogar scripten das es über managebare Switches problematische Endgeräte selber vom Netz nimmt indem es diese Ports am Switch deaktiviert.
Alles in allem ist das keine schlechte Sache und sehr hilfreich wenn man die Rahmenbedingungen beachtet.
Mitglied: istike2
istike2 19.10.2011 um 18:30:48 Uhr
Goto Top
Danke Aqui,

informativ wie immer. face-smile

Ich habe hier folgendes: ein altes PIV 3,4Ghz SBS mit 2GB RAM und 5 User. Da wir den Server nicht mehr brauchen (wir setzen einfachkeitshalber auf Workgroup) könnte ich darauf entweder die Windows-Version installieren oder gleich Ubuntu.

Der Server hat zwei Gbit-NIC, ich weiß nicht, ob es so geht.

Der Switch ist zwar OK ist aber nicht managebar. Router ist ein Alix Board mit PfSense.

Lohnt es sich der Aufwand mit diesem Equipment?

Wenn es so geht:

- wie soll ich den Server an dem Switch anbinden?
- Was kosten die Rules so ungefähr pro Jahr?

kennst du ernstzunehmende Snort-Alternativen die einem "möchtegern" Admin in Frage kommen? face-smile

Gr. I.
Mitglied: exciter
exciter 19.10.2011 um 19:42:15 Uhr
Goto Top
Eine mögliche Lösung heißt,

www.ipfire.org

Sorry für die Werbung.
Mitglied: aqui
aqui 20.10.2011 um 18:01:48 Uhr
Goto Top
Ist ja legitim....
http://wiki.ipfire.org/de/configuration/services/ids
allerdings ist IPFire in erster Linie eine Firewall und kein IDS System. Die macht IDS nur abgespeckt nebenbei...
Besser sprich performanter ist also immer ein dedizierter Snort Server.
Der Server oben ist schon völlig überdimensioniert ! Damit bist du also HW technisch auf der sicheren Seite.
Snort ist Unix basierend. Besser ist also immer ein Ubuntu zu nehmen und von der Distro gleich das Snort Package dazu auswählen. Das ist am einfachsten.
Du hast allerdings ein Riesenproblem:
Ein dummer ungemanagter Billig Switch der kein Port Mirroring supportet macht dir dieses Projekt sofort zunichte ! Egal ob Server oder IPFire !!
Du musst ja deine Netzwerk Daten spiegeln auf einen Switchport, denn der Snort MUSS alle Beteiligten im Netzwerk logischerweise "sehen". Ohne Mirrorport am Switch wird das nix....klar !
Wenn du den Snort so an deinen Dumm Switch anschliesst siehst du lediglich ein bischen Broad- und Multicast Traffic...mehr nicht.
OK du denkst dann alles wär gut und wirst auch in 100 Jahren keinerlei Viren, Trojaner und andere Angriffe sehen so....aber es beruhigt natürlich auch face-wink
Workaround ist das du die beiden NICs als Bridge konfigurierst wie hier:
http://www.heise.de/netze/Ethernet-Bridge-als-Sniffer-Quelle--/artikel/ ...
beschrieben und den Snort ans Bridge Interface hängst (statt des Sniffers wie im Artikel beschrieben). Allerdings siehst du dann immer nur was du da durchschleifst als Flows.... nicht aber das gesamte Netz !
Wirkliche freie Alternativen zu Snort gibt es nicht.... Da müsstest du dann was kaufen und das ist in dem Bereich meist teuer face-sad
Mitglied: istike2
istike2 21.10.2011 um 14:40:18 Uhr
Goto Top
Danke Aqui,

dann muss ich wohl oder über investieren.

Gr. I.

(PS: jetzt sehe ich dass Snort auch als PfSense-Package zur Verfügung steht. Kann man damit irgendetwas sinnvolles anfangen? Ich habe es tesetweise installiert face-smile)
Mitglied: istike2
istike2 21.10.2011 um 15:51:49 Uhr
Goto Top
Eine weitere Option mit einem bequemeren GUI.

http://snorby.org/

Scheinbar auch als Out-of-the-Box.
Mitglied: aqui
aqui 21.10.2011 um 16:21:16 Uhr
Goto Top
Ja, als pfSense Plugin rennt das natürlich auch. Da musst du aber mal sehen wie das ALIX das verkraftet aus Performnce Sicht. Also immer mal ein Auge auf die CPU Last halten face-wink
Du kannst aber da auch nur Flows ansehen die durch den Router gehen...vergiss das nicht. Rein Netzinternen Traffic siehst du damit nicht !
Mitglied: istike2
istike2 21.10.2011 um 17:38:15 Uhr
Goto Top
Sinnvollerweise sollte ich dann mindestens ein Netbook mit einem fertigen Snorby-Image (auf Ubuntu-Basis) bzw. mit einem managebaren Gbit.Switch nehmen.

Dann sollte ich dann Port-Mirroring aktivieren, damit an diesem einzigen Anschluß das Netbook das gesamte Netzwerkverkehr "sieht".

Welchen Switch empfiehlst du? Meine Wahl? http://www.idealo.de/preisvergleich/OffersOfProduct/2941725_-jetstream- ...
Er sollte mind. 5 Gbit-Anschlüße haben und möglichst preiswert sein.

Ich denke auf diese Art und weise hätte ich ein preiswertes Komplettset wohl unter € 350,- das ich überall einsetzen könnte.

Sehe ich die Sache richtig?

Gr. I.


EDIT: hier ist eine Netbook-Alternative: http://beboblog.johnbebo.com/2011/08/13/snorby-as-ids.aspx