IDS/IPS mit Snort und Iptables

Das nachfolgend als Download verfügbare Dokument enthält eine detaillierte, technische Anleitung zum Bau eines Intrusion-Prevention-Systems (IDS/IPS) mit Snort und iptables auf Basis einer transparenten Bridge.
Es wird dabei auch der Setup von Snorby und Base als grafisches Frontend zu Snort erklärt. Das ganze entspricht dem Aufbau, der in diesem Diagramm zu sehen ist. Der Setup mag erstmal recht kompliziert wirken. Hat man jedoch einmal alles sauber am laufen, stellt sich schnell eine gewisse Faszination ein, sobald die ersten verdächtigen Pakete in Snorby gemeldet werden. Da staunt man anfangs durchaus, wenn sichtbar wird was da alles für Pakete unterwegs sind, mit denen niemand gerechnet hat.
Wirklichen Sicherheitsgewinn gibt es aber erst, wenn man sich mit den Protokollen auskennt und das was das IPS meldet versteht und einschätzen kann.

Download
Snort_IPS.odt
Snort_IPS.pdf
Snort_IPS.doc