Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst SNORT ohne Spanning oder Monitor Port

Mitglied: agnostiker

agnostiker (Level 1) - Jetzt verbinden

17.10.2013 um 00:35 Uhr, 4893 Aufrufe, 9 Kommentare, 2 Danke

Hi,

um mit SNORT jedweden Traffic der durch ein Internet Gateway wandert zu analysieren muesste man
wohl den traffic sagen wir eines cable modems direkt nach dem modem abfangen z.b. mittels eines hubs.
eine physikalische verbindung wuerde dann wohl an die erste NIC des SNORT Servers gehen, die 2. NIC wuerde
die verbindung zu einem switch oder was auch immer dahinter herstellen.

aber das muss doch auch ohne eine hub gehen, gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
wir haben eine aussenstelle die IT technisch nicht sehr gut angebunden ist ( Fritzbox, business line von unitymedia ) und auch dort moechten
wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?

sind fuer jeden tipp dankbar.
Mitglied: Pjordorf
17.10.2013 um 00:56 Uhr
Hallo,

Zitat von agnostiker:
aber das muss doch auch ohne eine hub gehen,
Ja. Nennt sich TAP und sind nicht eben Preiswert bei GBit/s und höher.

gibt es keine kostenguenstigen router die spanning/monitoring ports anbieten ?
Nennt sich HUB (aber nur max. 100 MBit/s)

( Fritzbox, business line von unitymedia )
Ach so, nur ne Frittenschmiede.

wir SNORT laufen lassen - wie bekommen wir das kostenguenstigst geregelt ?
Nutze die Fritzbox eigene Funktion. http://fritz.box/html/capture.html

Gruß,
Peter
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 08:28 Uhr
Netgear GS105E
Läßt sich als Switch oder Tap oder Mirroring Device einsetzen.
Es gibt auch die Achtport-Version davon.

Aber die Überschrift passt nicht.
Nach der Überschrift hieße meine Antwort HUB, wobei es 100er-Hubs kaum mehr gibt und wenn uralt und zu überhöhten Preisen. Zudem ist ein Hub für ein Kabelmodem zu langsam.

Gruß
Netman
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 10:51 Uhr
erstmal danke fuer deinen super Tip!

Wie würde dann die Konfig aussehen wenn wir den Netgear dazwischen schalten ?
da der switch vlan unterstützt waere doch folgendes denkbar:

Auf dem 8port Netgear 2 vlans erstellen.

vlan0 mit 3 ports -> Auf Port1 kommt Ethernet vom unitymedia CableModem
-> Auf Port2 geht Ethernet in die Fritzbox
-> Auf Port3 Snort Server

vlan1 -> Die restlichen Ports fuer std. Switching.
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 11:20 Uhr
genau so ist es gut.
Port 3 ist dann ein Monitoring Port für Port1, das ist wichtig.
Die Fritzbox wird mit den LAN-Ports vom VLAN1 erweitert.

Billiger kommt man nicht an en Monitoring Device.
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 11:47 Uhr
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC anschluss
angeschlossen sind, in der konstellation waeren wir dann erstmal gekniffen oder wir muessten den switch dann zwischen fritzbox und internem switch haengen oder sehe ich das falsch ?
Bitte warten ..
Mitglied: aqui
17.10.2013 um 12:45 Uhr
Das ist egal wo das Device zwischenhängst ! Du hast 2 Optionen:
1.) Zwischen Kabel Modem und Router
2.) Zwischen Routerport und Switchport

Das allereinfachste ist du stattest den Snort mit 2 NICs aus und konfigurierst den als simple Bridge wie es oben beschrieben ist:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Damit ist die Integration dann kinderleicht und erfordert keine zusätzlcihe Frickelei mit Monitor Port oder Hub usw.
Bitte warten ..
Mitglied: MrNetman
17.10.2013 um 14:54 Uhr
Zitat von agnostiker:
habe gerade gesehen das es wohl auch unitymedia kisten gibt die von der unitymedia hardware aus direkt per ...ja was wirds sein, ein BNC Anschluss ( ist ein besserer F-Stecker) angeschlossen sind, in der Konstellation waeren wir dann erstmal gekniffen oder wir müssten den Switch dann zwischen Fritzbox und internem switch hängen oder sehe ich das falsch ?
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere Konfiguration bietet sich an.
Bitte warten ..
Mitglied: agnostiker
17.10.2013 um 15:15 Uhr
Zitat von MrNetman:
> Zitat von agnostiker:
[...........]
Den internen Switch der Fritzbox nicht benutzen. Snort oder Monitoring-TAP zwischen Fritzbox LAN und Switch. (die obere
Konfiguration bietet sich an.

Sorry vieleicht war das "interne Switch" hier falsch ich meinte:

Wenn wir aufgrund des Steckers nicht zwischen Cable Modem und Fritz abzweigen koennen, dann muessen wir wohl zwischen dem physikalischen Kabel welches von der Fritzbox raus zum lokalen Switch ( nicht die fritzbox selbst ) geht lauschen.
Bitte warten ..
Ähnliche Inhalte
Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Firewall
Snort FTP Rule
Frage von ReinartzFirewall1 Kommentar

Hallo Gemeinde, ich habe ein Problem mit einer Snort Regel. Ich möchte gern einen Alarm Eintrag erzeugen wenn ein ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Netzwerkgrundlagen
Spanning Tree Designated Ports
Frage von Sven91Netzwerkgrundlagen2 Kommentare

Hallo Community, ich, Azubi, benötige einen kleinen Denkanstoß. Auf einer Skizze über ich grade die Verteilung der Portrollen mit ...

Neue Wissensbeiträge
Windows 10

"Windows 10 Pro V1903: Gruppenrichtlinie "Telemetrie zulassen" aktivierbar?"

Tipp von Snowbird vor 3 StundenWindows 101 Kommentar

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V7 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 3 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Heiß diskutierte Inhalte
Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer13 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows Server
Ist es möglich, eine deutsche W2016 Installation mit einer UK-Lizenz zu aktivieren?
gelöst Frage von keine-ahnungWindows Server10 Kommentare

Moin at all, ist ja noch Freitag. Ich habe hier noch zwei UK OEM W2016 Standard Pakete rumfliegen Muss ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...

LAN, WAN, Wireless
Mikrotik Gast-Wlan keine Verbindung zum Internet?
Frage von dirkschwarzLAN, WAN, Wireless8 Kommentare

Guten Morgen, habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme Ich möchte ein Gast-Wlan ...