Probleme mit snort |
||
---|---|---|
#0
| ||
03.11.2002, 21:05
Udo
zu Gast
|
||
|
||
05.11.2002, 06:53
Ehrenmitglied
Beiträge: 831 |
#2
hi
konnte dir mit meinem wissensstand leider ned auf anhieb helfen aber 1.) snort ist eine IDS und keine FW 2.) als FW ist IPtables immernoch am besten 3.) könnte es auch eine Fehlkonfiguration von dir sein? zeige einfach mal deine einstellungen .. ich will nicht denn aufbau der regel , nur zeile wo die regeln an snort beim start gibt ... 4.) ich hoffe das ich richtig liege und du snort und linux/unix nimmst ... sollte es etwa windows sein liegst du mit deiner annahme das snort noch nicht ausgereit ist richtig mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
05.11.2002, 09:20
Udo
zu Gast
Themenstarter |
#3
Erst mal danke.
Snort verfügt über eine "block" Funktion. Untypisch für eine IDS aber drin. Ich muß es *leider* unter windows machen, da pers. fw. Verwende dafür den Installer von silicondefense.com. Kessen Spruch haste. Ist nur falsch. Sind min. 97% ... :-D Cu Udo |
|
|
||
05.11.2002, 13:14
Ehrenmitglied
Beiträge: 831 |
#4
wieso musst du es unter win machen?
also nee personal Firewall kann dafür doch ned der grund sein oder? Das snort blocken und diverese andere dinge bis hin zum abschalten des inets über versenden von logs per mail kann ist mir bekannt __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
05.11.2002, 18:42
Udo
zu Gast
Themenstarter |
#5
Ist auch nicht der Grund. kein normaler Mensch setzt ids für'n pc ein
Der Grund ist der: p2p = edonkey. Wegen der rasenden Verbreitung des p2p-Gedankens fehlen derzeit mindestens 100 Server. Also müssen die vorhandenen Systeme leistungsfähiger gemacht werden. Ein Franzose macht die Linux-Gurken fit und ich ein wenig die win-32-Systeme. Diese müssen - leider - mitgeschleppt werden, nicht jeder kann linux. Es geht um das Abblocken von clients, die zuviel Leistung wegnehmen, per Stringfilterung. Bots, mldonkeys, vielleicht auch emules. Bei wenig traffic geht das mit snort. hast Du erst mal 3000 oder 5000 clients auf dem Hobel geht das nicht mehr, dann ist ein Wahnsinnstraffic. Es wurde in amerikanischen Foren zugegeben, daß snort ganz gut ist nen Einzelangriff abzuwehren, nichts ist für Dauerberieselung. Das habe ich nachvollzogen, stimmt. Ich kenne keine pers. fw, die diese Stringfilterung, wie ich sie benötige, aufweist. Vielleicht habt Ihr die richtige Idee :-)) Cu |
|
|
||
05.11.2002, 19:00
Ehrenmitglied
Beiträge: 831 |
#6
dann bin ich kein normaler mensch *G* ... habe ne IDS laufen
also wie wäre es mit ner leistungsstarken HW-IDS? __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
05.11.2002, 22:19
Udo
zu Gast
Themenstarter |
#7
Daneben, trotzdem danke. Ich merke Du kennst das System nicht. Laß es erklären:
Mit einem telekom dsl-Anschluß bekommst Du auf einem *PC* maximal etwa 3.000 - 3200 clients gebacken. Mit nem kräftigen P4 auch unter win32. Die Zahl ist deshalb so irre hoch, weil - auch aus juristischen Gründen - nur gemakelt wird. Der Server führt die Leute zusammen, hält Kontakt zu anderen Servern und deren Angebot und der Datenverkehr geht dann *p2p*. Ich brauche also nur ne String-Filterung, um z.B. Clients abzufangen, die mit ner Suchanfrage 100te Server abgrasen, was zu einer unnötigen Mehrbelastung des Gesamtnetzes führt. Edonkey hat derzeit etwa 500.000 user, momentan exponentiell ansteigend. Das "ansteigend" muß aufgefangen werden. Für viele Serverbetreiber sind Linux-Büchsen keine Alternative, weil die PC-Welt von Billyboy beherrscht wird und man quasi mit dem für viele *teuren* dsl-Anschluß (dsl 768-128 ist das absolute min für einen server) nichts mehr sonst anfangen kann. sorry, war etwas OT, aber nur zur Erklärung. :-) Cu Udo |
|
|
||
05.11.2002, 22:42
Ehrenmitglied
Beiträge: 831 |
#8
thx
ich meinte mit ner HW-IDS eine Hardware-IDS kosten liegen etwa bei 1000 euro aufwärts ... danke nochmals für deine erklärung __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
05.11.2002, 23:33
Udo
zu Gast
Themenstarter |
#9
Hi
HW-IDS ist schon klar was das ist. Kenne ich alles. Wäre für mich ein Weg, nicht für andere. Tut es nicht, muß ich ja auch vermitteln können. Bei uns ist alles umsonst, du kriegst Null Kohle und machst es aus Idealismus. Wie im odp, wo ich gerade aus nem Kampfthread in suchmaschinentricks.de gewechselt habe. (Bevor ich in die Kiste steige) Ich suche ein SoftwareTeil, das ich für lau an alle vermitteln kann, sonst funzt nicht. Die Serverbetreiber machen es ja auch nur aus Idealismus........ |
|
|
||
06.11.2002, 16:45
Ehrenmitglied
Beiträge: 831 |
#10
Dann hast du nen echtes Problem
sorry wenn du eine lösung finden solltest poste es bitte. solange hier keine antwort eingeht werde ich hier antworten sobald ich mal über was stolpere mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
14.11.2002, 14:45
Ehrenmitglied
Beiträge: 831 |
#11
moin moin
such mal bei diesen beiden links nach geeigneten IDS'ses für dich eine davon wird sicher deinen wünschen entsprechen http://packetstormsecurity.nl/NT/IDS/ http://packetstormsecurity.nl/Win/ mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
16.11.2002, 12:51
Udo
zu Gast
Themenstarter |
||
|
||
17.11.2002, 22:18
Udo
zu Gast
Themenstarter |
||
|
||
20.11.2002, 22:15
Ehrenmitglied
Beiträge: 831 |
#14
black-ice ist nicht übel
habe es noch nie getestet , habe aber schön öfters bugs drüber gelesen aber trotz dem habe ich bekannte die darauf schwören teste es einfach mal mfg p2k __________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de Dieser Beitrag wurde am 20.11.2002 um 22:17 Uhr von poiin2000 editiert.
|
|
|
||
27.11.2002, 21:07
Ehrenmitglied
Beiträge: 831 |
#15
udo wie schaut es nun mit deiner IDS aus??
__________ http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de |
|
|
||
Für eine spezielle Aufgabe habe ich snort so konfiguriert, daß definierte strings in ankommendem traffic erkannt wird. Wenn ich z.B. den String "viren" definiere, dann schläft snort auch dann Alarm, wenn "virenabwehrscanner" kommt.
Snort hat eine Blockfunktion. Ich kriege aber nichts geblockt und nach Kenntnisstand amerikanischer Foren ist diese Funktions auch äußerst unvollkommen.
Frage: Kennt jemand eine nicht allzuteure Software, in die man die Snort-Ergebnisse portieren kann und die dann blockt?
Kennt jemand eine fw, die diese Funktion die ich benötige aufweist (ich kenn nur snort).
Merci
Cu Udo