3
Snort auf pfSense richtig einrichten
Hi,
ich habe Snort aus dem pfSense-Package installiert.
- WAN-interface erstellt
- Rules habe ich importiert.
Hat jemand damit praktische Erfahrungen welche die besten Whitelist und sonstige Einstellungen sind?
Mein Zeil ist einfach die größtmögliche Sicherheit (z. T. aus dem LAN wie Trojaner usw.) oder aus WAN.
Die auf unserer öffentlichen Servern laufenden Anwendungen müsste halt möglichst geschützt werden und die Quelle der Bedrohungen müssten geblockt werden.
Ich bin leider ziemlich am Anfang was IDS betrifft.
Danke für die Tipps.
Gr. I.
ich habe Snort aus dem pfSense-Package installiert.
- WAN-interface erstellt
- Rules habe ich importiert.
Hat jemand damit praktische Erfahrungen welche die besten Whitelist und sonstige Einstellungen sind?
Mein Zeil ist einfach die größtmögliche Sicherheit (z. T. aus dem LAN wie Trojaner usw.) oder aus WAN.
Die auf unserer öffentlichen Servern laufenden Anwendungen müsste halt möglichst geschützt werden und die Quelle der Bedrohungen müssten geblockt werden.
Ich bin leider ziemlich am Anfang was IDS betrifft.
Danke für die Tipps.
Gr. I.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191803
Url: https://administrator.de/forum/snort-auf-pfsense-richtig-einrichten-191803.html
Ausgedruckt am: 15.04.2025 um 08:04 Uhr
3 Kommentare
Neuester Kommentar
Hallo
Gruß
Dobby
P.S. Über IDS gibt es gute Bücher ein sehr billiges um einmal einen echten und leichten Einstieg in das Thema zu haben, wäre für ca. < 5 € gebraucht zu haben!!
Zu Snort selber gibt es eine ganze Fülle an Büchern, so gefühlte > 100 !!!!
Es ist eh Herbst und da kann man sich ja einmal eindecken für den Winter, oder nicht?
Danach siehst Du die Welt anders und vor allen Dingen, wenn dann noch Fragen offen sind ist das nicht weiter so wild, als immer wieder jedes Jahr bei Null anzufangen. Und in 2013 stellst Du die nächste Frage die bei Null ansetzt.
Ist nicht böse von mir gemeint, aber ich wollte Dich nur einmal sensibilisieren für das Einlesen in das Thema.
Ich bin leider ziemlich am Anfang was IDS betrifft.
Immer noch?Danke für die Tipps.
Gab es nicht schon hier genug?Gr. I.
Gruß
Dobby
P.S. Über IDS gibt es gute Bücher ein sehr billiges um einmal einen echten und leichten Einstieg in das Thema zu haben, wäre für ca. < 5 € gebraucht zu haben!!
Zu Snort selber gibt es eine ganze Fülle an Büchern, so gefühlte > 100 !!!!
Es ist eh Herbst und da kann man sich ja einmal eindecken für den Winter, oder nicht?
Danach siehst Du die Welt anders und vor allen Dingen, wenn dann noch Fragen offen sind ist das nicht weiter so wild, als immer wieder jedes Jahr bei Null anzufangen. Und in 2013 stellst Du die nächste Frage die bei Null ansetzt.
Ist nicht böse von mir gemeint, aber ich wollte Dich nur einmal sensibilisieren für das Einlesen in das Thema.
Recht hast du ... 
..........................
..........................
Hallo istike2,
jeder geht ja auch anders an die Materie ran!
Der eine so herum und wer anders wiederum einen anderen Weg.
Ich persönlich würde Dir folgendes raten:
1. Gebrauchtes Laptop mit zwei Festplatten besorgen auf eine Linux Deiner Wahl mit TCPDUMP installieren und auf die andere Windows mit WINDUMP und dann das IDS Buch kaufen und los legen, denn "Verkehr" scheinst Du ja auf Deinem NAS Server zu haben!
- Hier geht es um grundlegende und elementare Sachen, als Grundstock oder Basis in 6 Wochen zu lernen.
2. Mit WireShark weiter experimentieren und den Netzwerkverkehr beobachten sowie auswerten!!!
- Die hier aufgeführten Daten in Bezug auf IP Pakete und den Netzwerkverkehr kannst Du nun besser deuten und weißt auch was bedeuten!!
3. Danach einmal zu SkyNet und Dir Easy IDS besorgen (ist umsonst) und mal versuchen zu installieren, bei dem Installationsprozess wird man auch gefragt ob man einen Sensor oder einen Server installieren möchte.
- Die Distribution ist schon ein wenig in die Jahre gekommen, aber für einen Einstieg in das Thema IDS
eine der leichtesten und einfachsten Distributionen zum erlernen der Bedienung!
- Lässt sich auch auf einer kleine x86 Appliance installieren wie zum Beispiel Alix,
Soekris, Lanner oder in einer VM zum Erkunden!
Dann einen Switch besorgen der einen Monitor Port hat! (Mirrored Port)
Netgear GS105E - VALN, Monitor Port - ~30 €
Netgear GS108E - VLAN, Monitor Port - ~50 €
Netgear GS108T - VLAN, LAG, Monitor Port - ~80 €
Netgear GS110T - VLAN, LAG, ACL, Monitor + SFP Ports - ~100 €
Und dann geht das ganze Spiel es richtig los, denn nun ist es an Dir die "False Positive" zu senken und dann geht es weiter mit der Benachrichtigung per SMS bei einem Alarm usw. ........
Viel Glück und Erfolg
Gruß
Dobby
jeder geht ja auch anders an die Materie ran!
Der eine so herum und wer anders wiederum einen anderen Weg.
Ich persönlich würde Dir folgendes raten:
1. Gebrauchtes Laptop mit zwei Festplatten besorgen auf eine Linux Deiner Wahl mit TCPDUMP installieren und auf die andere Windows mit WINDUMP und dann das IDS Buch kaufen und los legen, denn "Verkehr" scheinst Du ja auf Deinem NAS Server zu haben!
- Hier geht es um grundlegende und elementare Sachen, als Grundstock oder Basis in 6 Wochen zu lernen.
2. Mit WireShark weiter experimentieren und den Netzwerkverkehr beobachten sowie auswerten!!!
- Die hier aufgeführten Daten in Bezug auf IP Pakete und den Netzwerkverkehr kannst Du nun besser deuten und weißt auch was bedeuten!!
3. Danach einmal zu SkyNet und Dir Easy IDS besorgen (ist umsonst) und mal versuchen zu installieren, bei dem Installationsprozess wird man auch gefragt ob man einen Sensor oder einen Server installieren möchte.
- Die Distribution ist schon ein wenig in die Jahre gekommen, aber für einen Einstieg in das Thema IDS
eine der leichtesten und einfachsten Distributionen zum erlernen der Bedienung!
- Lässt sich auch auf einer kleine x86 Appliance installieren wie zum Beispiel Alix,
Soekris, Lanner oder in einer VM zum Erkunden!
Dann einen Switch besorgen der einen Monitor Port hat! (Mirrored Port)
Netgear GS105E - VALN, Monitor Port - ~30 €
Netgear GS108E - VLAN, Monitor Port - ~50 €
Netgear GS108T - VLAN, LAG, Monitor Port - ~80 €
Netgear GS110T - VLAN, LAG, ACL, Monitor + SFP Ports - ~100 €
Und dann geht das ganze Spiel es richtig los, denn nun ist es an Dir die "False Positive" zu senken und dann geht es weiter mit der Benachrichtigung per SMS bei einem Alarm usw. ........
Viel Glück und Erfolg
Gruß
Dobby
