snort - kostenpflichtige VRT .rules

  • Themenstarter Themenstarter friday0D
  • Beginndatum Beginndatum
F

friday0D

Guest
Hallo zusammen,

vor einer weile habe ich mir über ids gedanken gemacht und begonnen snort einzusetzen. seit dem nutze ich die community rules, so wie es eben out-of-the-box kommt. einige der rules produzieren tonnenweise false positives, die man natürlich mit ein bischen drumrum programmieren und konfigurieren in den griff bekommt.

Nun gibt es ja offiziell die certified VRT rules, welche kostenpflichtig sind. ich möchte wissen, was bekommt man hier gegenüber den community rules geboten ? was sind die unterschiede ? bzw. wie sind diese ausgeprägt ?

vielen dank
 
Fuer die kostenpflichtigen Regelsaetze gibt es erfahrungsgemaess schneller Updates, wenn neue Angriffstechniken fuer spezifische Server-Apps auftreten. Auf neue Rootkits und Exploits kann man damit wesentlich schneller reagieren (zumeist gibt es binnen 1-2 Tagen bei den Subscription-Rules entsprechende Regelsaetze). Ausserdem wird man benachrichtigt, wenn Updates verfuegbar sind.

Ich persoenlich bin ja der Meinung, dass die Community-Regelsaetze ausreichend sind. Sie bieten eine gute Basis. Alle weiteren, die man benoeitigt, kann man mit etwas Kenntnissen zu Snort selbst schreiben. Auch auf neue Exploits u.ae. kann man selbst zumeist schnell genug reagieren, wenn man entsprechende Security-Announcements verfolgt und ein grundlegendes Verstaendnis zu den eingesetzten Netzwerk-Protokollen und Programmiersprachen hat, was ich fuer einen Admin einfach mal voraussetze. Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein.
 
hallo bitmuncher,

vielen dank für deine antwort.

Original von bitmuncher
Wenn du Snort nur privat nutzt, reichen die freien Regelsaetze mit Sicherheit aus. Will man allerdings das Projekt unterstuetzen, kann ein Kauf der Regeln eine gute Moeglichkeit dafuer sein
Zum Vergrößern anklicken....

... es geht um eine hohe anzahl an sensoren. zeit, kurzfristig und regelmäßig eigene regeln zu schreiben habe ich erfahrungsgemäß nicht. allerdings denke ich auch, dass die community rules viel können. im gegensatz zu einem antiviren produkt, sollte ein ids, nach meinem verständnis auch nicht nur signaturbasiert wirken, sondern auch verhaltensanalysierend. das tut snort in teilen bereits. somit würden in vielen fällen uach angriffe, die nicht durch eine spezifische regel bekannt sind, indirekt durch andere regelverstöße auffallen.

Wie sieht es mit dem update der regeln aus? reicht es erfahrungsgemäß, die .rules auszutauschen und in der snort.conf einzutragen ? oder gibt es sonderfälle ? ich muss mir einen automatisierungsvorgang ausdenken, wobei ich nicht auf automatische updatemöglichkeiten zurückgreifen kann...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben