Probleme mit snort

#0
03.11.2002, 21:05
Udo
zu Gast
#1 Hi an alle. Bin neu hier.

Für eine spezielle Aufgabe habe ich snort so konfiguriert, daß definierte strings in ankommendem traffic erkannt wird. Wenn ich z.B. den String "viren" definiere, dann schläft snort auch dann Alarm, wenn "virenabwehrscanner" kommt.
Snort hat eine Blockfunktion. Ich kriege aber nichts geblockt und nach Kenntnisstand amerikanischer Foren ist diese Funktions auch äußerst unvollkommen.

Frage: Kennt jemand eine nicht allzuteure Software, in die man die Snort-Ergebnisse portieren kann und die dann blockt?

Kennt jemand eine fw, die diese Funktion die ich benötige aufweist (ich kenn nur snort).

Merci

Cu Udo
Seitenanfang Seitenende
05.11.2002, 06:53
Ehrenmitglied

Beiträge: 831
#2 hi

konnte dir mit meinem wissensstand leider ned auf anhieb helfen ;)
aber
1.) snort ist eine IDS und keine FW
2.) als FW ist IPtables immernoch am besten
3.) könnte es auch eine Fehlkonfiguration von dir sein? zeige einfach mal deine einstellungen .. ich will nicht denn aufbau der regel , nur zeile wo die regeln an snort beim start gibt ...
4.) ich hoffe das ich richtig liege und du snort und linux/unix nimmst ... sollte es etwa windows sein liegst du mit deiner annahme das snort noch nicht ausgereit ist richtig

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
05.11.2002, 09:20
Udo
zu Gast

Themenstarter
#3 Erst mal danke.

Snort verfügt über eine "block" Funktion. Untypisch für eine IDS aber drin. Ich muß es *leider* unter windows machen, da pers. fw.
Verwende dafür den Installer von silicondefense.com.

Kessen Spruch haste. Ist nur falsch. Sind min. 97% ... :-D

Cu Udo
Seitenanfang Seitenende
05.11.2002, 13:14
Ehrenmitglied

Beiträge: 831
#4 wieso musst du es unter win machen?
also nee personal Firewall kann dafür doch ned der grund sein oder?
Das snort blocken und diverese andere dinge bis hin zum abschalten des inets über versenden von logs per mail kann ist mir bekannt ;)
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
05.11.2002, 18:42
Udo
zu Gast

Themenstarter
#5 Ist auch nicht der Grund. kein normaler Mensch setzt ids für'n pc ein ;)
Der Grund ist der: p2p = edonkey. Wegen der rasenden Verbreitung des p2p-Gedankens fehlen derzeit mindestens 100 Server. Also müssen die vorhandenen Systeme leistungsfähiger gemacht werden. Ein Franzose macht die Linux-Gurken fit und ich ein wenig die win-32-Systeme. Diese müssen - leider - mitgeschleppt werden, nicht jeder kann linux.
Es geht um das Abblocken von clients, die zuviel Leistung wegnehmen, per Stringfilterung. Bots, mldonkeys, vielleicht auch emules. Bei wenig traffic geht das mit snort. hast Du erst mal 3000 oder 5000 clients auf dem Hobel geht das nicht mehr, dann ist ein Wahnsinnstraffic.
Es wurde in amerikanischen Foren zugegeben, daß snort ganz gut ist nen Einzelangriff abzuwehren, nichts ist für Dauerberieselung. Das habe ich nachvollzogen, stimmt.
Ich kenne keine pers. fw, die diese Stringfilterung, wie ich sie benötige, aufweist.
Vielleicht habt Ihr die richtige Idee :-))

Cu
Seitenanfang Seitenende
05.11.2002, 19:00
Ehrenmitglied

Beiträge: 831
#6 dann bin ich kein normaler mensch *G* ... habe ne IDS laufen

also
wie wäre es mit ner leistungsstarken HW-IDS?
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
05.11.2002, 22:19
Udo
zu Gast

Themenstarter
#7 Daneben, trotzdem danke. Ich merke Du kennst das System nicht. Laß es erklären:
Mit einem telekom dsl-Anschluß bekommst Du auf einem *PC* maximal etwa 3.000 - 3200 clients gebacken. Mit nem kräftigen P4 auch unter win32. Die Zahl ist deshalb so irre hoch, weil - auch aus juristischen Gründen - nur gemakelt wird. Der Server führt die Leute zusammen, hält Kontakt zu anderen Servern und deren Angebot und der Datenverkehr geht dann *p2p*.
Ich brauche also nur ne String-Filterung, um z.B. Clients abzufangen, die mit ner Suchanfrage 100te Server abgrasen, was zu einer unnötigen Mehrbelastung des Gesamtnetzes führt. Edonkey hat derzeit etwa 500.000 user, momentan exponentiell ansteigend. Das "ansteigend" muß aufgefangen werden.
Für viele Serverbetreiber sind Linux-Büchsen keine Alternative, weil die PC-Welt von Billyboy beherrscht wird und man quasi mit dem für viele *teuren* dsl-Anschluß (dsl 768-128 ist das absolute min für einen server) nichts mehr sonst anfangen kann.
sorry, war etwas OT, aber nur zur Erklärung. :-)

Cu Udo
Seitenanfang Seitenende
05.11.2002, 22:42
Ehrenmitglied

Beiträge: 831
#8 thx
ich meinte mit ner HW-IDS
eine Hardware-IDS
kosten liegen etwa bei 1000 euro aufwärts ... ;)

danke nochmals für deine erklärung
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
05.11.2002, 23:33
Udo
zu Gast

Themenstarter
#9 Hi
HW-IDS ist schon klar was das ist. Kenne ich alles. Wäre für mich ein Weg, nicht für andere.

Tut es nicht, muß ich ja auch vermitteln können.

Bei uns ist alles umsonst, du kriegst Null Kohle und machst es aus Idealismus.
Wie im odp, wo ich gerade aus nem Kampfthread in suchmaschinentricks.de gewechselt habe. (Bevor ich in die Kiste steige)

Ich suche ein SoftwareTeil, das ich für lau an alle vermitteln kann, sonst funzt nicht.

Die Serverbetreiber machen es ja auch nur aus Idealismus........
Seitenanfang Seitenende
06.11.2002, 16:45
Ehrenmitglied

Beiträge: 831
#10 Dann hast du nen echtes Problem
sorry

wenn du eine lösung finden solltest poste es bitte.
solange hier keine antwort eingeht werde ich hier antworten sobald ich mal über was stolpere

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
14.11.2002, 14:45
Ehrenmitglied

Beiträge: 831
#11 moin moin

such mal bei diesen beiden links nach geeigneten IDS'ses für dich
eine davon wird sicher deinen wünschen entsprechen

http://packetstormsecurity.nl/NT/IDS/
http://packetstormsecurity.nl/Win/


mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
16.11.2002, 12:51
Udo
zu Gast

Themenstarter
#12 Erst mal danke.

Werds am Wochenende mal testen.

Ich werd Bescheid sagen.
Seitenanfang Seitenende
17.11.2002, 22:18
Udo
zu Gast

Themenstarter
#13 könnte es sein, daß *black-ice* die Lösung ist ?

Cu.
Seitenanfang Seitenende
20.11.2002, 22:15
Ehrenmitglied

Beiträge: 831
#14 black-ice ist nicht übel
habe es noch nie getestet , habe aber schön öfters bugs drüber gelesen
aber trotz dem habe ich bekannte die darauf schwören

teste es einfach mal

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Dieser Beitrag wurde am 20.11.2002 um 22:17 Uhr von poiin2000 editiert.
Seitenanfang Seitenende
27.11.2002, 21:07
Ehrenmitglied

Beiträge: 831
#15 udo wie schaut es nun mit deiner IDS aus??
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: