smiley
Goto Top

Snort, WinXP SP2 und eingehende Pakete

Hi,

bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.

--diese Satz steht nur wegen der 256 Zeichen begrenzung--

MfG

Content-ID: 55803

Url: https://administrator.de/forum/snort-winxp-sp2-und-eingehende-pakete-55803.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

Iwan
Iwan 04.04.2007 um 11:07:52 Uhr
Goto Top
ich frag aber trotzdem mal nach dem Grund, denn wenn man nicht weiss, was Du vor hast oder was der Sinn dieser Aktion sein soll, dann kann man Dir auch nicht wirklich helfen
also, wofür brauchst Du ein Intrusion Detection System? würde nicht auch eine vernünftige (Hardware-)Firewall ausreichen?
Smiley
Smiley 04.04.2007 um 11:15:58 Uhr
Goto Top
Im Grunde will ich nur mein Wissen etwas erweitern indem ich meinen PC "sicherer" mache.

SO ich habe es jetzt geschaft das Snort die Pakete findet. Auf der Seite von Win IDS sagt man mir ich soll einen IIS server installieren. Aber brauche ich den wenn ich Snort auf meinem Rechner laufen lasse? Und geht SnortSnarf dann noch?
Iwan
Iwan 04.04.2007 um 12:13:51 Uhr
Goto Top
ah ja, ok, aber 1. funktioniert SNORT wohl nur unter Linux (wenn ich das auf deren HP richtig gelesen habe) und 2. benutzt Du Windows XP, welches in der Grundkonfiguration sicherlich nicht sicher ist

entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre

"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)


*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
Smiley
Smiley 04.04.2007 um 12:38:06 Uhr
Goto Top
Ich hab es jetzt zum laufen gekriegt, mit SnortSnarf. Ja, auf meinem WinXP PC!

Jetzt habe ich eine frage nach dem was er erkennt. Er hat bei mir (nur von Heute Morgen bis jetzt) 866 (in 20min von 799 auf 866) Pakete von 473 verschiedenen IP Addressen als Quellen bekommen, die alle "ICMP Destination Unreachable Communication Administratively Prohibited" heißen. Ich habe gelesen das die Teil einer DoS Attacke sein können. Dafür sind es aber zu viele Quellen.
Desweiteren kommen 58 davon von meiner Öffentlichen IP Addresse mit dem Ziel meiner Internen (77.178.198.162 -> 192.168.178.21).
Das hier ist eines davon:

[**] [1:485:5] ICMP Destination Unreachable Communication Administratively Prohibited [**]
[Classification: Misc activity] [Priority: 3] 
04/05-12:44:18.715000 77.178.198.162 -> 192.168.178.21
ICMP TTL:63 TOS:0xC0 ID:10100 IpLen:20 DgmLen:56
Type:3 Code:13 DESTINATION UNREACHABLE: ADMINISTRATIVELY PROHIBITED,
PACKET FILTERED
** ORIGINAL DATAGRAM DUMP:
192.168.178.21:137 -> 212.184.213.98:137
UDP TTL:127 TOS:0x0 ID:10100 IpLen:20 DgmLen:78
Len: 50 Csum: 8847
** END OF DUMP

Was geht da vor?

MfG
gnarff
gnarff 09.04.2007 um 01:06:02 Uhr
Goto Top
Hallo Smiley!
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.

Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX

Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten

SnortSnarf ist ein Diagnosetool fuer Snort.

"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS

Diese "Verbindung" wurde abgeblockt!

Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf

saludos
gnarff
Smiley
Smiley 09.04.2007 um 12:39:25 Uhr
Goto Top
Danke ich werde mir die Seiten/PDFs angucken.
In der Zeit seit dem letzten Beitrag von mir, habe ich schon herausgefunden das die Firewall meines Routers eine verbindung über den Port 137 abgeblockt hat und meinem rechner dann mit einem dieser Pakete darauf aufmerksam macht.

---
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest du dir sparen können. face-smile

Außerdem gibt es auch Host basierte IDS.
MfG

PS: Mir ist klar das das nicht viel Sinn macht ein IDS auf meinem Rechner zu haben. Wenn ich herausgefunden hab wie ich Snort in meinem Router bekomm, werd ich es bei mir unterwerfen.
gnarff
gnarff 10.04.2007 um 04:01:59 Uhr
Goto Top
Hallo!
---
Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.

Wirklich ... diese Sätze hättest
du dir sparen können. face-smile

Warum? Dein Vorredner hatte gemutmasst, SNORT wuerde nur unter Linux laufen...

Außerdem gibt es auch Host basierte
IDS.

Ja, aber nicht unter Windows und auch bei HIDS brauchst du einen Server. HIDS bedeutet lediglich, dass JEDER Host sein eigenes IDS hat, nichts weiter...

PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.

Wonach Du suchst scheint ein Intrusion Prevention System zu sein...

Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.

SNORT in den Router? Wie soll SNORT in den Router kommen, das ist Unfug!
Was willst Du damit bezwecken?
saludos
gnarff
Smiley
Smiley 10.04.2007 um 10:11:31 Uhr
Goto Top
Ich hab eine Fritz!Box, ich kann mit Telnat oder einem FTP Programm auf sie zugreifen und Daten Speichern und Programme ausführen. (BFTP z.B)
Naja, die Fritz!Box ist im Grunde auch ein Server.

..., jetzt fällt mir ein das die Fritz.Box ganz bestimmt nicht genug RAM hat um Snort laufen zu lassen. Mit der kleinsten Einstellung benötigt Snort immernoch 100MB Arbeitsspeicher.
Tja wird wohl nichts.


Hm, Snort läuft einwandfrei bei mir auf meinem Einzelplatzrechner. Warum also benötige ich einen Server?
MfG

PS: Warum habe ich in meinem vorherigen Beitrag "unterwerfen" geschrieben?
gnarff
gnarff 10.04.2007 um 15:20:05 Uhr
Goto Top
Herrschaftszeiten, ich frage Dich jetzt noch einmal:
Was willst Du mit deinem Vorhaben SNORT in deiner Fritzbox, oder wo auch immer laufen zu lassen, erreichen?
saludos
gnarff

PS: Ich nehme mal an, Du hattest das "R" vergessen...= r+unterwerfen
Smiley
Smiley 10.04.2007 um 16:54:01 Uhr
Goto Top
Garnichts da Snort dort nicht laufen wird.
Nagut ich glaub ich setz mal ein "gelöst" an diesem Beitrag.


MfG und Danke für eure Hilfe.

PS: Ja, ich glaub du hast recht. face-smile