IDS und alternativen...?

S

sm0ker

0
hi.
mich wuerde mal intressieren was es fuer alternativen zu snort gibt! also ich beschreib mal um was es geht. meine fw ist soweit dicht (denke ich ;) ) aber
ab und an sind ein paar services (ssh, http, ftp) nach 'aussen' offen. nun gehts mir darum so 'hack versuche' zu loggen, am besten in echtzeit und 'gegenmassnahmen' zu treffen! aber snort + php + mysql + apache + base ist nicht das wonach ich suche... was gibts da noch fuer alternativen? am besten mit nem web iface wo man in echtzeit sieht was gerade abgeht. portscans sollten zuverlaessig erkannt werden genauso brute force attacken auf ssh und dann halt die ip fuer ne bestimmte zeit gesperrt werden. hab fuer sowas verschiedene scripte am rennen, suche aber eben ein 'tool' fuer alles.
 
Es gibt kein Tool fuer alles.
Und IDS ist genausowenig wie Firewall eine "Blackbox"-Loesung- Es sind Konzepte, die mit entsprechenden Werkzeugen umgesetzt werden.

Es gibt zwar zahlreiche "Boxen" die dann als IDS und deep-packet-inspection-bla verkauft werden, aber dahinter verbirgt sich nicht selten eben solch "üblicher" Kram.

Wenn du "echtzeit" willst, mit hausgemachten mitteln: Logge deinen Traffic (IPTables, PF, etc) direkt in ein tcpdump Format. Das geht sehr schnell und kostet wenig ressourcen. Gleichzeitig laesst du snort eben diesen output lesen (das ist dann dasz was zb bei so einigen Firewalls als DPI angepriesen wird).

Der Vorteil ist, weil snort schonmal ein packet "verschluckt" , dass es sich zeit lassen kann. Sofern dein Traffic nicht dass uebersteigt was snort und diverse andere scripte verarbeiten koennen.
Und ob du bei Angriffen Zeitfenster im Sekundenmasstab brauchst ist fraglich ;)

Von was fuer Gegenmasznahmen sprichst Du?
Halte deine Services nach bestem Gewissen sauber und lass die Leute doch Bruteforcen.
OpenSSH bieten von sich aus schon einiges um sowas einzudaemmen.
Den Rest kannst du weiterhin mit deinen Scripts regeln (ip sperren, etc).


Imo klingt dein System voellig akzeptabel.

mfg
 
o.k. danke fuer die antwort. naja das mit dem zeitfenster bei einem 'angriff' stimmt schon. wuerde halt gern zuschauen bei einem angriff ;) , will aber keinen honeypot aufsetzen! so meinte ich das eher... mit gegenmassnahmen meinte ich z.B. so viele daten wie moeglich sammeln und dann eben ne mail an seinen isp, zurueck scannen? evtl. den einen oder anderen exploit starten ;) nee, mir schon klar dass es den falschen treffen koennte/wuerde. oder 'hackt' heutzutage noch wer von daheim? *fg*
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben