Flagge Deutschland Flagge England Flagge Frankreich

High-End Linux-Consulting und Security

Systemadministration
Feeds   Linux-Videos
  RSS Feed Linux Videos
  Linux-Tutorials
  RSS Feed Linux System Administration
  Atom Feed Linux System Administration

Top Downloads   Anleitung Snort-IPS
  RPM NRPE-Server
  RPM NRPE-Plugin
  Cacti-Handbuch
  Cacti-Video
  Dumpsplit
  Allrights
  Whoisonline

Kontact   Email: Norbert Klein
  Tel: 49 (0)1724728123
  ICQ: 218595557
  Google Maps


IDS/IPS-Systeme mit Snort

Mit Snort und weiterer Opensource-Software lassen sich kostengünstige Intrusion-Detection/Prevention-Systeme realisieren. Als grafisches Frontend stehen Snorby oder BASE zur Verfügung.

Das folgende Diagramm zeigt eine typische Architektur eines IPS in Form einer transparenten Bridge.

IPS-Architektur mit Snort

Der Netzwerkverkehr aus Richtung des Internets passiert zuerst die Firewall und dann den Snort-Sensor. Dieser ist als transparente Bridge eingerichtet und von außen "nicht sichtbar", da er keine IP-Adresse konfiguriert hat. Alle Pakete werden mit Hilfe von iptables in den User-Space hochgereicht und so Snort zur Analyse zur Verfügung gestellt. Snort entscheidet dann für jedes Paket ob es durchgelassen wird oder nicht. Snort generiert weiterhin Meldungen welche über sockserv und stunnel an den Loghost gesendet werden. Auf dem Loghost sind diese Meldungen dann durch Snorby in einer ansprechenden Weboberfläche einsehbar. Außerdem generiert der Loghost Emailbenachrichtigungen bei kritischen Ereignissen.

Eine solche Architektur ist nicht mehr als trivial zu bezeichnen und erfordert permanente Betreuung durch einen erfahrenen Administrator. Je tiefgehender die Protokoll- und Security-Kenntnisse der Benutzer sind, desto größer ist natürlich der Nutzen eines solchen Systems.