wieder mal Snort Ids

#1 moin moin liste/forum

also ich haette da eigentlcih nur mal ne kleine frage :

und zwar beschaeftige ich mich grade neu mit snort ... eigentlich haut auch fast alles super hin, allerdings nur als HIDS.
also wenn ich den rechner zB. mit nmap untersuche gibts die richtigen meldungen an der
richtigen stelle .. so weit so gut.

nur haut das als NIDS nicht hin ... also von rechner A rechner B scannen,
sollte doch rechner C (IDS rechner) dieses mitbekommen und ebenso melden..

sie haengen alle im selben netz also kein switch oder so dazwischen

hat jemand n tip fuer mich ?

vielen dank im vorraus

gruss torben

#2 Wie hängen die denn zusammen? Wenn sie an einem echten (!) Hub hängen, dann sollte es kein Problem geben. Hängen Sie an einem Switch, so müsstest Du alle Ports auf einen monitorport spiegeln.

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 ich grlaube da muss ich nochmal n test machen :-/

sorry .. hab da noch n echten HUP werd ich gleich mal holen und weiter probieren
wenn es tatsaechlich daran lag .... schande ueber mein haupt ;-))

und danke fuer die schnelle antwort

gruss torben

#4 Ähh, sorry aber snort ist KEINE HIDS. War es nie und wird es auch nie sein so wie es aussieht. Eine HIDS überwacht Dateien, Logfiles usw. auf deinem Rechner. Snort ist eine reine NIDS auch wenn die nur die nur den Traffik eines Rechner sieht. Das macht sie aber nicht zu einem HIDS

#5 moin moin

nochmal ...

so hab hier n echten hup angeschlossen .... und sehe auf m tcpdump von rechner C (auf dem auch snort läuft)
eindeutig die nmap scan verlaeufe von rechner A auf rechner B .

aber das snort von C zeigt mir mir keinen alarm an, wenn rechner A den selbern scan auf C
ausfuehr sieht er es ...

hier mal der snort aufruf

snort -dev -l /var/log/snort -c /usr/local/etc/snort.conf

hat jemand ne idee ? :-)

gruss und danke schon mal

torben