Snort, WinXP SP2 und eingehende Pakete
Hi,
bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.
--diese Satz steht nur wegen der 256 Zeichen begrenzung--
MfG
bitte fragt nicht nach dem Grund warum ich ein IDS brauch, aber ich hoffe ihr könnt mir helfen.
(neueste Fragen im letztem Post) Alles was hier stand ist nicht mehr von bedeutung, da ich jetzt Snort zum laufen gekriegt hab.
--diese Satz steht nur wegen der 256 Zeichen begrenzung--
MfG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 55803
Url: https://administrator.de/contentid/55803
Ausgedruckt am: 14.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
ah ja, ok, aber 1. funktioniert SNORT wohl nur unter Linux (wenn ich das auf deren HP richtig gelesen habe) und 2. benutzt Du Windows XP, welches in der Grundkonfiguration sicherlich nicht sicher ist
entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre
"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)
*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
entweder besorgst Du Dir einen 2. (älteren) PC und installierst da Linux und Snort drauf und benutzt das ganze dann als Proxy
oder Du beschäftigst Dich mit dem Thema "wie mache ich mein XP sicher" (unbenutzte Dienste, Virenscanner, Sicherheitslücken, etc.), wozu dann auch eine (Hardware-)Firewall (im Router vielleicht schon vorhanden?) notwendig wäre
"Ein System ist nur so sicher wie der User, der es benutzt..."
(Autor unbekannt)
*nachtrag*
vielleicht hilft Dir ja WinSnort weiter?
http://www.winsnort.com/index.php
Hallo Smiley!
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten
SnortSnarf ist ein Diagnosetool fuer Snort.
"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS
Diese "Verbindung" wurde abgeblockt!
Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf
saludos
gnarff
Snort auf einem Einzelplatzrechner installieren zu wollen ist etwa so sinnvoll, wie wenn man einen Stier melken wollte und nach 15 Minuten harter Arbeit erwartet dass das Eimerchen voll Milch ist...
Snort ist fuer den Netzwerkeinsatz gedacht.
Snort ist Plattformuebergreifend, es laeuft unter:
Windows, Linux und MAC OSX
Um Snort effektiv einzusetzen bedarf es einer extra IDS-Konsole, die ein PC im Netzwerk sein kann, dann gilt es natuerlich noch die Snort Sensoren einzurichten
SnortSnarf ist ein Diagnosetool fuer Snort.
"ICMP Destination Unreachable Communication Administratively Prohibited" ist eine Snort-Regel.
Das Datagramm besagt, dass Du [192.168.178.21] ueber Port 137 UDP mit MCF-MOTOR-COMPANY-BERLIN-NET [212.184.213.98], natuerlich ebenfalls Port 137 UDP, "verbinden" moechtest.
Ueber Port 137 UDP wird vom NetBIOS Name Service benutzt.
http://en.wikipedia.org/wiki/NetBIOS
Diese "Verbindung" wurde abgeblockt!
Vllt. solltest Du dich eingehender mit dem Aufbau von Snortregeln befassen, hier eine Einleitung dazu, in Deutsch:
http://www.pro-linux.de/work/snort/snort3.html
und ausserdem mit den Grundlagen von Intrusion Detection Systemen und ihrer Implementation:
http://www.snort.org/docs/iss-placement.pdf
saludos
gnarff
Hallo!
Außerdem gibt es auch Host basierte
IDS.
Ja, aber nicht unter Windows und auch bei HIDS brauchst du einen Server. HIDS bedeutet lediglich, dass JEDER Host sein eigenes IDS hat, nichts weiter...
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wonach Du suchst scheint ein Intrusion Prevention System zu sein...
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
SNORT in den Router? Wie soll SNORT in den Router kommen, das ist Unfug!
Was willst Du damit bezwecken?
saludos
gnarff
---
Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest
du dir sparen können.
Warum? Dein Vorredner hatte gemutmasst, SNORT wuerde nur unter Linux laufen...Snort ist Plattformuebergreifend, es laeuft
unter:
Windows, Linux und MAC OSX
SnortSnarf ist ein Diagnosetool fuer Snort.
Wirklich ... diese Sätze hättest
du dir sparen können.
Außerdem gibt es auch Host basierte
IDS.
PS: Mir ist klar das das nicht viel Sinn
macht ein IDS auf meinem Rechner zu haben.
Wenn ich herausgefunden hab wie ich Snort in
meinem Router bekomm, werd ich es bei mir
unterwerfen.
Was willst Du damit bezwecken?
saludos
gnarff