Arbeitsweise Snort

Dieses Thema im Forum "Security Talk" wurde erstellt von silgi, 07.03.2007.

  1. #1 silgi, 07.03.2007
    Zuletzt bearbeitet: 07.03.2007
    silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hallo zusammen,

    vor einigen Tagen habe ich SNORT auf einem unserer Server installiert und konfiguriert. Wird alles anständig mitgeloggt.

    Nun würde mich interessieren, ob man auch im internen Netz die Server auf angriffe überwachen lassen kann?
    Will nämlich wissen, ob ein MA oder ein Externer versucht unsere PWs zu knacken. Leider existieren bereits tools mit denen man die SAM kompromitieren kann.

    Natürlich habe ich bereits das Netz nach brauchbaren Informationen durchsucht aber leider nicht fündig geworden. Es gibt zwar winsnort, welches jedoch ein eigenes System darstellt und nicht als sensor unseres Linux Systems fungiert.

    Vielen Dank im voraus.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    moin, moin,

    Sort kann natürlich nur den Netzwerkverkehr überwachen, der auch an seiner überwachten Schnittstelle vorbei geht. Will man mehr, dann muss man den Überwachungsrechner zentral positionieren. Ich hatte das mal mit einem Rechner gemacht, der 3 Netzwerkkarten besaß und den ganzen Traffic transparent durchgeleitet hat. Über die dritte Karte ist man auf die Kiste gekommen und konnte dann den Verkehr beobachten und gegebenenfalls einschreiten:-)

    Gruß
    Blur
     
  4. silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Ist es bei dir wie folgt aufgebaut..
    INTERNET|-->|Router/Firewall|-->|SNORT|-->|Internes Netz
    ..oder Monitort die Ereignise des lokalen Netzes?

    Es existiert nämlich ein Problem. Mit einem HUB kann man im Netz horchen ein SWITCH lässt sowas nicht zu. Man muss den Switch mit einen Buffer Overflow Angriff kompromitieren, damit dieser das horchen zulässt und das ist nicht im Sinne des Erfinders.
    Eine möglichkeit wäre noch einen SNORT Server als Gateway zu nutzen aber das stellt dann wiederrum andere Probleme dar.

    Vielleicht wäre die beste Lösung auf den lokalen Domain Controllern WinSnort zu installieren um die Angriffe wenigstens auf die DCs nachvollziehen zu können.

    Falls jemand noch andere Möglichkeiten in petto hat, immer her damit :)
     
  5. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    So ähnlich, wobei ich hinter dem SNORT-Rechner nicht alle Rechner des internen Netzes stehen hatte. Die Menge der Daten kann dann schonmal dazu führen, daß das Pakete weggeschmissen werden.

    So einen Unsinn sollte man erst gar nicht anfangen.

    Guck Dir mal folgenden Artikel an OpenBSDTransparentFirewall.pdf

    Gruß
    Blur
     
  6. silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Sei bitte etwas vorsichtiger bei deinen Ausdrücken!
    http://www.tecchannel.de/netzwerk/management/434527/index6.html
    Bei uns soll nicht der Traffic von aussen überwacht werden, sondern der interne.
    Zwischen unseren Routern steht bereits ein Snort Server. Nun bin ich halt dabei rauszufinden, ob ein Überwachen der Server möglich ist.
     
  7. silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Hab vielleicht 'ne Lösung.
    Snort auf unserem Linux Server nutzt eine MySQL DB um seine Informationen abzulegen.
    Nun kann man WinSnort nehmen und in der Configfile den MySQL Server auf dem Linux Server angeben und theoretisch müsste es dann so laufen.
    Sage bescheid, wenn ich es morgen mal versucht habe.

    Gruß
     
  8. blur

    blur Tripel-As

    Dabei seit:
    01.12.2006
    Beiträge:
    156
    Zustimmungen:
    0
    Nur weil es irgendwo steht, muss es noch lange nicht gut sein, oder funktionieren. Wenn Du mit snort soetwas überwachen willst, musst Du es ja ständig machen. Und das heisst in dem Fall kannst Du gleich ein Hub nehmen anstatt den Switch in einen Zustand zu bringen, der nicht seiner Aufgabe entspricht.[​IMG]

    Natürlich gibt es noch viele andere Möglichkeiten, snort ist nur eine.

    Gruß
    Blur
     
  9. #8 tastenklopfer, 20.03.2007
    tastenklopfer

    tastenklopfer Solaris & Gentoo

    Dabei seit:
    08.08.2006
    Beiträge:
    34
    Zustimmungen:
    0
    > Guck Dir mal folgenden Artikel an OpenBSDTransparentFirewall.pdf

    Habe ich zwar nicht gemacht, aber dem Namen nach sollte es der richtige Weg sein.
    Eine transparente Firewall läuft im Bridge-Modus und wird von den Nodes nicht wahrgenommen. Das Prinzip ist identisch zum Switch. Nun hängt es nur noch von deinem Switch ab und Du kannst Firewall und Switch via trunc verbinden. Damit ist deine Firewall über alle Pakete vom Switch informiert und kann loggen was Du in deinen Snort-Regeln als bedenklich definiert hast.
    CU
    Tastenklopfer
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. silgi

    silgi Grünschnabel

    Dabei seit:
    14.11.2006
    Beiträge:
    7
    Zustimmungen:
    0
    Stimmt.
    Das Jamming habe ich lediglich erwähnt, weil es der einzige Weg neben einem HUB ist, wie man horchen kann. Dies soll aber nicht heissen, dass ich es ausprobieren will.
    Jedenfalls habe ich winsnort auf dem Windows Server installiert und in der Config den Pfad zur MySQL DB auf dem Linux Server bekannt gemacht.
    Jetzt will ich noch BASE installieren und wenn alles so läuft wie ich mir das vorstelle, kann ich mal eine kleine Anleitung verfassen.

    Gruß
     
  12. #10 wuerzelchen, 02.07.2007
    wuerzelchen

    wuerzelchen Jungspund

    Dabei seit:
    28.05.2007
    Beiträge:
    12
    Zustimmungen:
    0
    schon mal was von arpspoofing gehört? damit kann man auch den verkehr sniffen den man eigentlich ned bekommen sollte in nem switched network ;)
    ettercap ist ein nützliches tool um zu spoofen
    und das mit dem jamming, naja heutzutage haben die meisten switches einen so großen internen speicher, dass man es mit einer maschine schlecht schafft das switch in die knie zu zwingen dass es auf hub umschaltet...
    naja und sobald es im hub mode ist können natürlich auch alle anderen clienten mitlesen und das ist ja denke ich auch ned so sinnvoll
    greetz
     
Thema:

Arbeitsweise Snort

Die Seite wird geladen...

Arbeitsweise Snort - Ähnliche Themen

  1. Cisco fügt Anwendungserkennung zu Snort hinzu

    Cisco fügt Anwendungserkennung zu Snort hinzu: Cisco als neuer offizieller Eigentümer der Einbruchsverhinderungs-Software Snort hat unter dem Namen OpenAppID eine Anwendungserkennung...
  2. isco fügt Anwendungserkennung zu Snort hinzu

    isco fügt Anwendungserkennung zu Snort hinzu: Cisco als neuer offizieller Eigentümer der Einbruchsverhinderungs-Software Snort hat unter dem Namen OpenAppID eine Anwendungserkennung...
  3. Snort normalisierung funktioniert nicht

    Snort normalisierung funktioniert nicht: Hallo Commmunity, ich versuche gerade Snort 2.9.0.3 auf meinem 11.3 Suse (64 Bit) ans laufen zu bekommen, aber bekomme immer die Meldung Unkown...
  4. AirSnort unter Suse 10.3

    AirSnort unter Suse 10.3: Moinsen, und erstmal Frohe Weihnachten. Ich versuche jetzt schon seid längeren Airsnort zu installieren, leider will es mir nicht gelingen....
  5. snort log

    snort log: Folgende Meldung bekomme ich von snort wenn ich mich mitm Firefox bei web.de einlogge und das find ich doch leicht besorgniserregend und da Google...