Snort als Host-IDS und Firewall ?

[rogx]

Hallo Forum,

ich möchte meinen Gateway-Rechner so einrichten, das Snort mir Angriffsversuche
meldet. Da ich auf dem Rechner logischerweise auch eine Firewall installiere und diese nur legitimierten Traffic zulässt, ist mir irgendwie unklar wie Snort dann den gesamten Traffic auswerten kann. Wie werden denn solche Lösungen im professionellen Einsatz realisiert?

danke im vorraus ...

rogx

 

[ex-user_280]

Es wird eine extra Maschine benutzt.
Denn dein Snort sollte auf dem Sniffinginterface keinen Stack haben.
Die Firewall würde dir ja die wichtigen Packete wegfiltern.

 

[kith]

http://www.snort.org/docs/FAQ.txt

2.5 Where's a good place to physically put a Snort sensor?

This is going to be heavily influenced by your organizations policy, and what
you want to detect. One way of looking at it is determining if you want to
place it inside or outside your firewall. Placing an IDS outside of your
firewall will allow you monitor all attacks directed at your network,
regardless of whether or not they are stopped at the firewall. This almost
certainly means that the IDS will pick up on more events than an IDS inside the
firewall, and hence more logs will be generated. Place an IDS inside your
firewall if you are only interested in monitoring traffic that your firewall
let pass. If resources permit, it may be best to place one IDS outside and one
IDS inside of your firewall. This way you can watch for everything directed at
your network, and anything that made it's way in.


du hast schon ganz richtig erkannt, dass man traffic der von der firewall geblockt wird mit snort (hinter der firewall) nicht auswerten kann . also installierst du sensoren vor UND hinter der firewall.

 

[ex-user_280]

Mit dem davor und hinter der FW muss nicht sein.
Es kommt darauf an was du wirklich sehen willst.
Das wirklich wichtige ist im internen Netz.
Das muss aber jeder selbst festlegen.
Normalerweise werden noch Tools eingesetz die den Traffic nochmals auswerten. Denn der interne Snortsensor würde auch den internen Datenverkehr anzeigen. Das muss nicht unbedingt gewollt sein.

 

[rogx]

snort

auja, das wollt ich schon immer mal bauen: einen alten 486, zwei Netzwerkse und als Bridge ohne IP-Stack konfiguriert. Den Snort draufkompilieren und schon habe ich die Störenfriede im Griff.

Ich danke euch allen für die Tips...

tschau

 

[kith]

@bsdlx
meine antwort war auf das "wie wertet man den gesamten traffic aus?" bezogen. ich denke das laesst sich nur mit mindestens zwei sensoren machen.
und imho ist beides wichtig (aussen und innen). ich wuerde es naemlich begruessen wenn ein ids mich warnt wenn meine firewall angegriffen wird.

allerdings hast du insofern recht, dass es eine frage der ressourcen und paranoia-level ist

 

[ex-user_280]

Hast schon recht.
Ich wollt halt auch mal was sagen.