Moin moin,

hab ein Problem mit snort. Hab Snort 2.4.4 auf einem Client bei mir im Netzwerk installiert. Hab in der snort.conf unter Logs folgenden eintrag:

output log_tcpdump: tcpdump.log

Allerdings logt er garnichts. Ich hab mir die Anleitung und alles was ich bei Google gefunden hab durchgelesen, aber ich werd aus dem Programm nicht schlau.

Bitte um Hilfe

ohne jetzt zu wissen, wie snort funktioniert und ohne das Programm ansich zu kennen, vermute ich mal, dass du snort irgendwie mitteilen musst, welches ethernet device er "beobachten" soll.

Moin, snort läuft, allerdings logt er nur Portscans die auf den Rechner zielen wo snort installiert ist. Er soll aber auch Portscans erfassen von einem zum anderen Rechner im Netz. Ich hab ca. 100 Rechner im Netz und 250 User. Es ist ein heterogenes Netzwerk Linux (SuSE, RedHat), HP und einigen Windowsrechnern. Nun sitzt hier irgendwo ein nerviger Student und versucht über Netzwerk an meinen Rechnern rumzuspielen.

Hat jemand eine Idee und kennt sich mit Snort aus?

Bitte um Hilfe.

Gruß Snowman

du musst deinen Switch so konfigurieren, dass er den Port an dem die Snort-Box hängt als "mirror-port" nutzt, sprich sämtlichen traffic auch an diesen Port leitet. Sonst "sieht" snort die Portscans ja garnicht ;)

Ja. Danke, das läuft mitlerweile auch schon. Ich dachte ich hatte den Mirror Port schon eingerichtet. Hatte aber ein Fehler gemacht bei dem Cisco Switch. Also lag der Fehler mal wieder zwischen den Kopfhörern. :D