Re: DSL + Firewall + Snort
Gruesse!
* Ralph Bergmann <ralph@dasralph.de> schrieb am [29.12.06 19:51]:
> Hallo!
>
> Der Server selbst wird durch Shorewall geschützt. Ist letztendlich iptables.
>
> Ich würde gern aus reiner Neugierde mal mit Snort hören, wer da
> "anklopft". Sprich ich möchte mal sehen, wer übers Internet auf meinen
> Rechner zugreifen möchte (und hoffentlich an der Firewall scheitert).
Das siehst du doch eigentlich an der Firewall-Log (wenn es extra was
gibt von shorewall) bzw. im Syslog.
Meistens prasseln (je nach Logging) doch schon so viele Drops/Rejects
auf das ein manuelles Auswerten gar nicht mehr möglich ist.
> Nun weiß ich leider nicht, wie ich dies am besten anstelle. Ich vermute,
> dass Snort eh nur das mitbekommt, was auch durch die Firewall durchkommt?!
Kommt auf die Plazierung an ;-) Ich denke, die wichtigste Aufgabe von
Snort und Konsorten ist, den Netzverkehr der erlaubt/erwünscht ist auf
bestimmte "Muster" zu überwachen - da Paketfilter das nicht einfach
bewerkstelligen. Wenn ich Eingang-http erlaube dient Snort der Analyse
(nicht primär der Abwehr) z.B. dieser Inhalte. Ein IDS hinter der FW
(wenn möglich nicht auf der FW) ist da er beste Platz.
Manche plazieren ein IDS (evtl. zusätzlich) auch vor der FW, um den
ungefilterten Verkehr in Bezug auf Angriffstechniken etc. mitzukriegen.
> Wie muss ich mein Netzwerk richtung Provider einrichten, dass Snort die
> Zugriffe aus dem Internet mitbekommt, ich aber trotzdem sicher
> weiterlebe? Geht das überhaupt?
Wie gesagt: Snort zwischen Router und FW, dann kann es alles auswerten
(ob ein IDS auch abwehren soll sei dahingestellt).
Snort hinter Router und FW kriegt halt nur den gefilterten, also den
erlaubten Traffic mit - aber das würde ich in meinem Netz für den
wichtigsten Teil halten.
> Danke! Ralph
Gruß
Gerhard
--
Standards sind eine tolle Sache.
Ich finde, jeder sollte einen haben.
Reply to: