On Monday 18 August 2003 12:41, Marcus Schopen wrote:
[...]
ich möchte snort direkt auf der Debian-Box installieren, die für
die DSL Einwahl zuständig ist. Ich weiss zwar, dass man mit
snort die besten Ergebnisse erziehlt, wenn man snort auf extra
Rechnern vor und hinter der Firewall installiert, aber möchte
ich mir zu Hause nicht einen oder zwei weitere Rechner
aufstellen (kein Geld, kein Platz, zu laut ...).
Daher die Frage: mit welchen Risiken ist es verbunden, wenn man
snort direkt auf dem gateway Rechner installiert? Inwieweit ist
das unsicher? Welchen konkreten Gefahren setzt man sich dadurch
aus?
[...]
Ich denke es gelten die Abwägungen die für jeden Server gellten.
Jeder Dienst ist ein potenzielles zusätzliches Risiko, nicht
allein als mögliches Ziel einer Kompromittierung sondern als
zusätzlicher pint of failure.
Snort an sich bietet nach aussen keine Dienste an und wenn du snort
nicht sagst er solle im promiscous mode laufen sehe ich nichts was
gegen snort spricht.
Es gibt ein recht gutes Buch zu Snort aus dem Prentice Hall Verlag:
Rafeeq ur Rehman; Intrusion Detection with Snort, Advanced IDS
Techniques Using Snort, Apache, MySQL, PHP and ACID;
ISBN 0-13-140733-3; U.S.$ 39,99 / € 45,-