[HaBo]

13.08.09, 19:55

Hallo zusammen,

vor einer weile habe ich mir über ids gedanken gemacht und begonnen snort einzusetzen. seit dem nutze ich die community rules, so wie es eben out-of-the-box kommt. einige der rules produzieren tonnenweise false positives, die man natürlich mit ein bischen drumrum programmieren und konfigurieren in den griff bekommt.

Nun gibt es ja offiziell die certified VRT rules, welche kostenpflichtig sind. ich möchte wissen, was bekommt man hier gegenüber den community rules geboten ? was sind die unterschiede ? bzw. wie sind diese ausgeprägt ?

vielen dank

**bitmuncher** · 13.08.09, 23:13

Fuer die kostenpflichtigen Regelsaetze gibt es erfahrungsgemaess schneller Updates, wenn neue Angriffstechniken fuer spezifische Server-Apps auftreten. Auf neue Rootkits und Exploits kann man damit wesentlich schneller reagieren (zumeist gibt es binnen 1-2 Tagen bei den Subscription-Rules entsprechende Regelsaetze). Ausserdem wird man benachrichtigt, wenn Updates verfuegbar sind.

Ich persoenlich bin ja der Meinung, dass die Community-Regelsaetze ausreichend sind. Sie bieten eine gute Basis. Alle weiteren, die man benoeitigt, kann man mit etwas Kenntnissen zu Snort selbst schreiben. Auch auf neue Exploits u.ae. kann man selbst zumeist schnell genug reagieren, wenn man entsprechende Security-Announcements verfolgt und ein grundlegendes Verstaendnis zu den eingesetzten Netzwerk-Protokollen und Programmiersprachen hat, was ich fuer einen Admin einfach mal voraussetze. Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein.

HaBo Ads

14.08.09, 06:48

hallo bitmuncher,

vielen dank für deine antwort.

Zitat:

Original von bitmuncher
Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein

... es geht um eine hohe anzahl an sensoren. zeit, kurzfristig und regelmäßig eigene regeln zu schreiben habe ich erfahrungsgemäß nicht. allerdings denke ich auch, dass die community rules viel können. im gegensatz zu einem antiviren produkt, sollte ein ids, nach meinem verständnis auch nicht nur signaturbasiert wirken, sondern auch verhaltensanalysierend. das tut snort in teilen bereits. somit würden in vielen fällen uach angriffe, die nicht durch eine spezifische regel bekannt sind, indirekt durch andere regelverstöße auffallen.

Wie sieht es mit dem update der regeln aus? reicht es erfahrungsgemäß, die .rules auszutauschen und in der snort.conf einzutragen ? oder gibt es sonderfälle ? ich muss mir einen automatisierungsvorgang ausdenken, wobei ich nicht auf automatische updatemöglichkeiten zurückgreifen kann...

Empfehlung

13.08.09, 19:55	#1 (permalink)
friday0D Guest Likes:	snort - kostenpflichtige VRT .rules Hallo zusammen, vor einer weile habe ich mir über ids gedanken gemacht und begonnen snort einzusetzen. seit dem nutze ich die community rules, so wie es eben out-of-the-box kommt. einige der rules produzieren tonnenweise false positives, die man natürlich mit ein bischen drumrum programmieren und konfigurieren in den griff bekommt. Nun gibt es ja offiziell die certified VRT rules, welche kostenpflichtig sind. ich möchte wissen, was bekommt man hier gegenüber den community rules geboten ? was sind die unterschiede ? bzw. wie sind diese ausgeprägt ? vielen dank

13.08.09, 23:13	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	Fuer die kostenpflichtigen Regelsaetze gibt es erfahrungsgemaess schneller Updates, wenn neue Angriffstechniken fuer spezifische Server-Apps auftreten. Auf neue Rootkits und Exploits kann man damit wesentlich schneller reagieren (zumeist gibt es binnen 1-2 Tagen bei den Subscription-Rules entsprechende Regelsaetze). Ausserdem wird man benachrichtigt, wenn Updates verfuegbar sind. Ich persoenlich bin ja der Meinung, dass die Community-Regelsaetze ausreichend sind. Sie bieten eine gute Basis. Alle weiteren, die man benoeitigt, kann man mit etwas Kenntnissen zu Snort selbst schreiben. Auch auf neue Exploits u.ae. kann man selbst zumeist schnell genug reagieren, wenn man entsprechende Security-Announcements verfolgt und ein grundlegendes Verstaendnis zu den eingesetzten Netzwerk-Protokollen und Programmiersprachen hat, was ich fuer einen Admin einfach mal voraussetze. Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
snort rc-script und gentoo	sm0ker	Linux/UNIX	2	06.02.06 13:53
port forwarden (firewall rules)	kekec	Network · LAN, WAN, Firewalls	8	30.11.04 14:13
Internet-Branche setzt auf kostenpflichtige SMS	Tec	News & Ankündigungen	0	30.04.02 08:29


HaBo Ads HaBOT

[HaBo]

snort - kostenpflichtige VRT .rules