Arbeitsweise Snort

S

silgi

Grünschnabel
Hallo zusammen,

vor einigen Tagen habe ich SNORT auf einem unserer Server installiert und konfiguriert. Wird alles anständig mitgeloggt.

Nun würde mich interessieren, ob man auch im internen Netz die Server auf angriffe überwachen lassen kann?
Will nämlich wissen, ob ein MA oder ein Externer versucht unsere PWs zu knacken. Leider existieren bereits tools mit denen man die SAM kompromitieren kann.

Natürlich habe ich bereits das Netz nach brauchbaren Informationen durchsucht aber leider nicht fündig geworden. Es gibt zwar winsnort, welches jedoch ein eigenes System darstellt und nicht als sensor unseres Linux Systems fungiert.

Vielen Dank im voraus.
 
Zuletzt bearbeitet:
moin, moin,

silgi schrieb:
Nun würde mich interessieren, ob man auch im internen Netz die Server auf angriffe überwachen lassen kann?

Will nämlich wissen, ob ein MA oder ein Externer versucht unsere PWs zu knacken. Leider existieren bereits tools mit denen man die SAM kompromitieren kann.
Zum Vergrößern anklicken....

Sort kann natürlich nur den Netzwerkverkehr überwachen, der auch an seiner überwachten Schnittstelle vorbei geht. Will man mehr, dann muss man den Überwachungsrechner zentral positionieren. Ich hatte das mal mit einem Rechner gemacht, der 3 Netzwerkkarten besaß und den ganzen Traffic transparent durchgeleitet hat. Über die dritte Karte ist man auf die Kiste gekommen und konnte dann den Verkehr beobachten und gegebenenfalls einschreiten:-)

Gruß
Blur
 
Ist es bei dir wie folgt aufgebaut..
INTERNET|-->|Router/Firewall|-->|SNORT|-->|Internes Netz
..oder Monitort die Ereignise des lokalen Netzes?

Es existiert nämlich ein Problem. Mit einem HUB kann man im Netz horchen ein SWITCH lässt sowas nicht zu. Man muss den Switch mit einen Buffer Overflow Angriff kompromitieren, damit dieser das horchen zulässt und das ist nicht im Sinne des Erfinders.
Eine möglichkeit wäre noch einen SNORT Server als Gateway zu nutzen aber das stellt dann wiederrum andere Probleme dar.

Vielleicht wäre die beste Lösung auf den lokalen Domain Controllern WinSnort zu installieren um die Angriffe wenigstens auf die DCs nachvollziehen zu können.

Falls jemand noch andere Möglichkeiten in petto hat, immer her damit :)
 
silgi schrieb:
Ist es bei dir wie folgt aufgebaut..
INTERNET|-->|Router/Firewall|-->|SNORT|-->|Internes Netz
..oder Monitort die Ereignise des lokalen Netzes?
Zum Vergrößern anklicken....

So ähnlich, wobei ich hinter dem SNORT-Rechner nicht alle Rechner des internen Netzes stehen hatte. Die Menge der Daten kann dann schonmal dazu führen, daß das Pakete weggeschmissen werden.

Es existiert nämlich ein Problem. Mit einem HUB kann man im Netz horchen ein SWITCH lässt sowas nicht zu. Man muss den Switch mit einen Buffer Overflow Angriff kompromitieren, damit dieser das horchen zulässt und das ist nicht im Sinne des Erfinders.
Zum Vergrößern anklicken....
So einen Unsinn sollte man erst gar nicht anfangen.

Eine möglichkeit wäre noch einen SNORT Server als Gateway zu nutzen aber das stellt dann wiederrum andere Probleme dar.
Zum Vergrößern anklicken....

Guck Dir mal folgenden Artikel an OpenBSDTransparentFirewall.pdf

Gruß
Blur
 
blur schrieb:
So einen Unsinn sollte man erst gar nicht anfangen.
Zum Vergrößern anklicken....
Sei bitte etwas vorsichtiger bei deinen Ausdrücken!
http://www.tecchannel.de/netzwerk/management/434527/index6.html
Bei Switches ohne Portspiegelung muss man zu einem etwas unfeinen Mittel greifen, dem "Switch Jamming". Dabei schickt man dem Switch eine Vielzahl von Paketen mit verschiedenen MAC-Adressen, bis sein interner Speicher für die Verwaltung überläuft. Die meisten Switches schalten in diesem Fall um und verhalten sich dann wie ein Hub, senden also alle Pakete an alle Ports.
Zum Vergrößern anklicken....

Bei uns soll nicht der Traffic von aussen überwacht werden, sondern der interne.
Zwischen unseren Routern steht bereits ein Snort Server. Nun bin ich halt dabei rauszufinden, ob ein Überwachen der Server möglich ist.
 
Hab vielleicht 'ne Lösung.
Snort auf unserem Linux Server nutzt eine MySQL DB um seine Informationen abzulegen.
Nun kann man WinSnort nehmen und in der Configfile den MySQL Server auf dem Linux Server angeben und theoretisch müsste es dann so laufen.
Sage bescheid, wenn ich es morgen mal versucht habe.

Gruß
 
silgi schrieb:
Sei bitte etwas vorsichtiger bei deinen Ausdrücken!
http://www.tecchannel.de/netzwerk/management/434527/index6.html
Zum Vergrößern anklicken....

Nur weil es irgendwo steht, muss es noch lange nicht gut sein, oder funktionieren. Wenn Du mit snort soetwas überwachen willst, musst Du es ja ständig machen. Und das heisst in dem Fall kannst Du gleich ein Hub nehmen anstatt den Switch in einen Zustand zu bringen, der nicht seiner Aufgabe entspricht.http://www.techhelpers.net/e4u/aliens/borg_assimilation_faces.gif

Bei uns soll nicht der Traffic von aussen überwacht werden, sondern der interne.
Zwischen unseren Routern steht bereits ein Snort Server. Nun bin ich halt dabei rauszufinden, ob ein Überwachen der Server möglich ist.
Zum Vergrößern anklicken....

Natürlich gibt es noch viele andere Möglichkeiten, snort ist nur eine.

Gruß
Blur
 
> Guck Dir mal folgenden Artikel an OpenBSDTransparentFirewall.pdf

Habe ich zwar nicht gemacht, aber dem Namen nach sollte es der richtige Weg sein.
Eine transparente Firewall läuft im Bridge-Modus und wird von den Nodes nicht wahrgenommen. Das Prinzip ist identisch zum Switch. Nun hängt es nur noch von deinem Switch ab und Du kannst Firewall und Switch via trunc verbinden. Damit ist deine Firewall über alle Pakete vom Switch informiert und kann loggen was Du in deinen Snort-Regeln als bedenklich definiert hast.
CU
Tastenklopfer
 
blur schrieb:
Nur weil es irgendwo steht, muss es noch lange nicht gut sein, oder funktionieren. Wenn Du mit snort soetwas überwachen willst, musst Du es ja ständig machen. Und das heisst in dem Fall kannst Du gleich ein Hub nehmen anstatt den Switch in einen Zustand zu bringen, der nicht seiner Aufgabe entspricht.
Zum Vergrößern anklicken....
Stimmt.
Das Jamming habe ich lediglich erwähnt, weil es der einzige Weg neben einem HUB ist, wie man horchen kann. Dies soll aber nicht heissen, dass ich es ausprobieren will.
Jedenfalls habe ich winsnort auf dem Windows Server installiert und in der Config den Pfad zur MySQL DB auf dem Linux Server bekannt gemacht.
Jetzt will ich noch BASE installieren und wenn alles so läuft wie ich mir das vorstelle, kann ich mal eine kleine Anleitung verfassen.

Gruß
 
schon mal was von arpspoofing gehört? damit kann man auch den verkehr sniffen den man eigentlich ned bekommen sollte in nem switched network ;)
ettercap ist ein nützliches tool um zu spoofen
und das mit dem jamming, naja heutzutage haben die meisten switches einen so großen internen speicher, dass man es mit einer maschine schlecht schafft das switch in die knie zu zwingen dass es auf hub umschaltet...
naja und sobald es im hub mode ist können natürlich auch alle anderen clienten mitlesen und das ist ja denke ich auch ned so sinnvoll
greetz
 
Anmelden, um zu antworten.

Ähnliche Themen

Cracker - was nun ?
Cracker - was nun ?: Ich habe einen Server (Apache, Mysql, ssh, Samba, Mythtv, mediathomb, tftp, dhcp und bind) mit 2 Netzwerkkarten und ne 16000er DSL -eine im internen Netz...

Neueste Themen

Zurück
Oben