Hallo zusammen

Möchte mich in das Thema Intrusion Detection einarbeiten. Ich habe mich ein bisschen schlau gemacht und möchte dies nun in einer Testumgebung ausprobieren. Nun habe ich einige Fragen:

Hat jemand Erfahrung mit Snort (Freeware) auf einem Windowssystem (XP pro, Server 2003)? Oder ist Snort wirklich nur auf Linux geeignet? Auch für etwelche Tips, hilfreiche Links bin ich sehr dankbar.

Besten Dank schon im Voraus für eure Antworten.

Gruss Föx7

So eine Intrusion Detection ist nur sinnvoll, wenn sie nicht auf dem schützenden Rechner, sondern auf einer Firewall (oder einem Router) davor ausgeführt wird. Und dafür ist Windows ein bisserl zu viel, um als Firewall/Router zu agieren. Ist zumindest meine Meinung.

Gruß

Danke für deine Antwort amontillado.

Nach meinen Informationen (Internet) kann solch ein IDS hinter einem Router im LAN stehen (Netzwerkbasierte IDS) oder auf einem betreffenden Rechner (Hostbasierte IDS). Bei einigen Geräten wie z.B. Cisco ist ein solches IDS schon integriert.

Für mich wäre einfach interessant zu wissen, die Erfahrungen, die jemand mit Snort auf Windows gemacht hat. Fragen wie z.B. ist es sinnvoll, wie war der Arbeitsaufwand und wo kriege ich hilfreiche Informationen her.


Gruss Föx7

Also wenn du eher Einsteiger mit IDS bist kann ich dir die ipcop-dist empfehlen... einfach mal zum n'bisschen rum probieren.

aber zum thema ids... ich bin nichtmehr so begeistert von... steig glaub um auf IPS...
weil wenn ich den Einbruch "feststelle" ists ja meist eh schon too late

Warum willst auch den IDS auf ner Windows-Kiste installieren..?

IPCOP wäre auch mein Vorschlag gewesen. Bis ich zwar alle Hardware-Komponten nutzen konnte, hab ich ein paar mal die Netzwerkkarte getauscht, bis alle 3 richtig erkannt wurden.

Aber ansonst ist IPcop zu empfehlen.

Aber Windows...

Ich hab auch ein IPCOP und meine 3COM Netzwerkkarten wurden auf anhieb erkannt. (alle 4)

Klar gilt es zu verhindern, dass jemand unbefugt in ein Netzwerk eindringt!
Aber WENN er schon drin ist, möchte ich das dann wenigstens auch erfahren (und zwar lieber nicht aus der Presse )
http://www.heise.de/newsticker/meldung/72658

bis bald
Kermit

blöd gelaufen *lach*

Wollte mich nach langer Zeit wieder mal melden und berichten, dass ich ein NIDS mit Snort, Prelude (Manager der Sensoren), Prewikka (Frontend) und SUSE Linux 10.0 realisiert habe. Es war eine Diplomarbeit und ich testete dies in einer kleinen Umgebung (zu Hause) aus. War eine harte, aber lehrreiche Arbeit.

Es ist wirklich so, dass der Trend in der heutigen Zeit eher auf IPS geht. Trotzdem ist das IDS immer noch die Basis, denn wenn der Angriff nicht erkannt wird, können auch keine Massnahmen getroffen werden. Eines muss man sich auch im Klaren sein, wenn ein solches System nicht richtig gepflegt / konfiguriert wird, ist es nutzlos. Da in der heutigen Zeit vielfach die Zeit fehlt, um solche Systeme zu betreuen, "verstauben" sie oder werden gar abgeschaltet.

Gruss Föx7

intressieren würds mich auch, aber ich hab schlichtweg keine zeit um das alles selbst zu erarbeiten... darum ipcop