[HaBo]

sm0ker · 01.02.06, 16:10

hi.
mich wuerde mal intressieren was es fuer alternativen zu snort gibt! also ich beschreib mal um was es geht. meine fw ist soweit dicht (denke ich ;) ) aber
ab und an sind ein paar services (ssh, http, ftp) nach 'aussen' offen. nun gehts mir darum so 'hack versuche' zu loggen, am besten in echtzeit und 'gegenmassnahmen' zu treffen! aber snort + php + mysql + apache + base ist nicht das wonach ich suche... was gibts da noch fuer alternativen? am besten mit nem web iface wo man in echtzeit sieht was gerade abgeht. portscans sollten zuverlaessig erkannt werden genauso brute force attacken auf ssh und dann halt die ip fuer ne bestimmte zeit gesperrt werden. hab fuer sowas verschiedene scripte am rennen, suche aber eben ein 'tool' fuer alles.

01.02.06, 21:43

Es gibt kein Tool fuer alles.
Und IDS ist genausowenig wie Firewall eine "Blackbox"-Loesung- Es sind Konzepte, die mit entsprechenden Werkzeugen umgesetzt werden.

Es gibt zwar zahlreiche "Boxen" die dann als IDS und deep-packet-inspection-bla verkauft werden, aber dahinter verbirgt sich nicht selten eben solch "üblicher" Kram.

Wenn du "echtzeit" willst, mit hausgemachten mitteln: Logge deinen Traffic (IPTables, PF, etc) direkt in ein tcpdump Format. Das geht sehr schnell und kostet wenig ressourcen. Gleichzeitig laesst du snort eben diesen output lesen (das ist dann dasz was zb bei so einigen Firewalls als DPI angepriesen wird).

Der Vorteil ist, weil snort schonmal ein packet "verschluckt" , dass es sich zeit lassen kann. Sofern dein Traffic nicht dass uebersteigt was snort und diverse andere scripte verarbeiten koennen.
Und ob du bei Angriffen Zeitfenster im Sekundenmasstab brauchst ist fraglich

Von was fuer Gegenmasznahmen sprichst Du?
Halte deine Services nach bestem Gewissen sauber und lass die Leute doch Bruteforcen.
OpenSSH bieten von sich aus schon einiges um sowas einzudaemmen.
Den Rest kannst du weiterhin mit deinen Scripts regeln (ip sperren, etc).

Imo klingt dein System voellig akzeptabel.

mfg

Anzeige

- Anzeige -

sm0ker · 02.02.06, 12:41

o.k. danke fuer die antwort. naja das mit dem zeitfenster bei einem 'angriff' stimmt schon. wuerde halt gern zuschauen bei einem angriff

, will aber keinen honeypot aufsetzen! so meinte ich das eher... mit gegenmassnahmen meinte ich z.B. so viele daten wie moeglich sammeln und dann eben ne mail an seinen isp, zurueck scannen? evtl. den einen oder anderen exploit starten

nee, mir schon klar dass es den falschen treffen koennte/wuerde. oder 'hackt' heutzutage noch wer von daheim? *fg*

Anzeige

- Anzeige -

01.02.06, 16:10	#1 (permalink)
sm0ker Registriert seit: 30.01.06 Likes: 0	IDS und alternativen...? Anzeige hi. mich wuerde mal intressieren was es fuer alternativen zu snort gibt! also ich beschreib mal um was es geht. meine fw ist soweit dicht (denke ich ;) ) aber ab und an sind ein paar services (ssh, http, ftp) nach 'aussen' offen. nun gehts mir darum so 'hack versuche' zu loggen, am besten in echtzeit und 'gegenmassnahmen' zu treffen! aber snort + php + mysql + apache + base ist nicht das wonach ich suche... was gibts da noch fuer alternativen? am besten mit nem web iface wo man in echtzeit sieht was gerade abgeht. portscans sollten zuverlaessig erkannt werden genauso brute force attacken auf ssh und dann halt die ip fuer ne bestimmte zeit gesperrt werden. hab fuer sowas verschiedene scripte am rennen, suche aber eben ein 'tool' fuer alles.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
xClient-alternativen	sw33tlull4by	Applikationen	2	08.12.07 12:52
Basecamp alternativen	THRALL	Internet Allgemein	5	02.11.06 00:15
Alternativen zu Mastereye ?	connect	Downloads	5	07.09.06 20:05
Alternativen zu MOVIX ?	silenced	Linux/UNIX	0	20.02.06 12:53
Symposium: DRM und Alternativen	sieben	News & Ankündigungen	0	13.01.04 02:46

01.02.06, 21:43	#2 (permalink)
Gulliver Guest Likes:	Es gibt kein Tool fuer alles. Und IDS ist genausowenig wie Firewall eine "Blackbox"-Loesung- Es sind Konzepte, die mit entsprechenden Werkzeugen umgesetzt werden. Es gibt zwar zahlreiche "Boxen" die dann als IDS und deep-packet-inspection-bla verkauft werden, aber dahinter verbirgt sich nicht selten eben solch "üblicher" Kram. Wenn du "echtzeit" willst, mit hausgemachten mitteln: Logge deinen Traffic (IPTables, PF, etc) direkt in ein tcpdump Format. Das geht sehr schnell und kostet wenig ressourcen. Gleichzeitig laesst du snort eben diesen output lesen (das ist dann dasz was zb bei so einigen Firewalls als DPI angepriesen wird). Der Vorteil ist, weil snort schonmal ein packet "verschluckt" , dass es sich zeit lassen kann. Sofern dein Traffic nicht dass uebersteigt was snort und diverse andere scripte verarbeiten koennen. Und ob du bei Angriffen Zeitfenster im Sekundenmasstab brauchst ist fraglich Von was fuer Gegenmasznahmen sprichst Du? Halte deine Services nach bestem Gewissen sauber und lass die Leute doch Bruteforcen. OpenSSH bieten von sich aus schon einiges um sowas einzudaemmen. Den Rest kannst du weiterhin mit deinen Scripts regeln (ip sperren, etc). Imo klingt dein System voellig akzeptabel. mfg

02.02.06, 12:41	#3 (permalink)
sm0ker Themenstarter Registriert seit: 30.01.06 Likes: 0	o.k. danke fuer die antwort. naja das mit dem zeitfenster bei einem 'angriff' stimmt schon. wuerde halt gern zuschauen bei einem angriff , will aber keinen honeypot aufsetzen! so meinte ich das eher... mit gegenmassnahmen meinte ich z.B. so viele daten wie moeglich sammeln und dann eben ne mail an seinen isp, zurueck scannen? evtl. den einen oder anderen exploit starten nee, mir schon klar dass es den falschen treffen koennte/wuerde. oder 'hackt' heutzutage noch wer von daheim? fg

[HaBo]

IDS und alternativen...?