Hallo Leute,

ich habe hier auf meinem Server Tripwire als Host-IDS, als auch Prelude als Hybrid IDS laufen. Wer von euch nutzt ebenfalls Prelude? Bisher bin ich ganz zufrieden mit Prelude, kann mich aber nicht so ganz mit der PHP-Oberfläche anfreunden. Welche Oberfläche nutzt ihr für Prelude? Vor- bzw. Nachteile gegenüber der PHP-Gui?

1000 Dank.

Hallo!

Ich probiere prelude so seit ca. 3 Wochen aus und es macht keinen schlechten Eindruck.
Als gui benutze ich piwi welches wohl in Zukunft durch prewikka ersetzt werden wird.
Mal abwarten.

Ich habe jetzt mal zum vergleich Piwi installiert und bin davon deutlich mehr angetan, als von der PHP-Gui. Mir gefällt Prelude bisher sehr gut, habe auch schon einige Sachen an meinem Netz optimieren können (Namen der SNMP Communities z.B.). Es gibt noch ein paar Kleinigkeiten die ich ändern muss. So vermutet Prelude eine DoS Attacke auf meinen Server, wenn MRTG alle fünf Minuten drei Werte an meinem Router per SNMP abfragt. :) Hast du voher Snort verwendet?

Hallo!

Ich bin, warscheinlich genau wie ihr, durch den Artikel im Linux.-Magazin auf Prelude gestoßen.

Konnte es mir aus Zeitmangel leider noch nicht angucken - werde das aber ganz bestimmt nachholen...

Gibt es eigentlich außer Prelude noch andere hybride IDS?


mfg
cane

Jap, schau mal in die iX 8/2004. Da wurden mehrere Full- und Host-IDS getestet.

Wenn du eine alternative zu preylude suchst schau dir mal snort an.

Zur Installation siehe:

http://www.harry.homelinux.org/modules.php?name=News&file=article&sid=4

Snort ist keine Alternative - das ist der Urvater! :-) Wer sich mit Intrusion-Detection-Systemen auseinandersetzt kommt an Snort nicht vorbei.

Außerdem ist Snort nicht hybrid sondern "nur" ein NIDS

NIDS = Network based IDS (z.B. Snort)
HIDS = Host based IDS (z.B. Tripwire)

hybrides IDS = HIDS + NIDS :)

mfg
cane

Ausserdem gefällt mir in prelude die Art der Verwaltung (management-console), da ist snort nur noch ein Sensor
(wenn auch ein guter)

Wer hat den gesagt das Snort ein HIDS ist?

Wer hat den gesagt das Snort ein HIDS ist?
Niemand, aber cane hat nach hybriden IDS gefragt und mdkuser mit Snort geantwortet ...

Sorry, habe ich wohl nen falschen Tip gegeben... :rolleyes:
Aber nichts desto trotz, snort ist nicht schlecht, damit komme auch ich als "Durchschnitts Linuxer" zurecht, mit preylude habe ich mich noch nicht so anfreunden können (wäre aber nochmal einen Versuch wert ;))

P.S. Wo ist der Unterschied (also in der Funktionsweise) zwischen Network based IDS und Host based IDS?

etwas OT: wie erstellt man eigentlich gute tripwire regeln? Das policy.pl script mit den resources.txt ist ja auch eitwas lückenhaft.

In mühevoller Handarbeit. In meinem Policy-File stecken min. 1 Tag Arbeit (inkl. späterer Anpassungen usw.).

P.S. Wo ist der Unterschied (also in der Funktionsweise) zwischen Network based IDS und Host based IDS?

NIDS - Die Netzwerkkarte wird in den promiscuous mode versetzt, der Datenverkehr im Subnet wird mitgehört und auf eine Reihe Angriffsmuster und Signaturen analysiert. NIDS's vergleichen diese Signaturen mit den Daten aller Packete, die sie zu sehen bekommen. Sie lassen sich passiv einsetzen, ohne dass an Systemen oder Netzwerken grössere Änderungen vorgenommen werden müssen.

HIDS - Variieren von Anbieter zu Anbieter sehr stark. Sie gehen bei ihrer Analyse systemzentriert vor. Die meisten HIDS's verfügen über Komponenten z.B. Datenbanken, die Systemprotokolle und Benutzeranmeldungen und Prozesse überwachen. Sie sind meistens von einem oder mehreren Agenten gesteuert. Es muss also auf jedem Host, den man schützen will ein Programm installiert sein, was einen erhöhten Administrationsaufwand verusrsacht.

Was ein Hybrid ist, musst du jetzt raten ;)

ichitaka

Aha, danke für die Erklärung...
Aber, bei einem NIDS muss auch für jedes Subnet das IDS-proggy installiert werden, zumindest ist das bei snort so...

Aha, danke für die Erklärung...
Aber, bei einem NIDS muss auch für jedes Subnet das IDS-proggy installiert werden, zumindest ist das bei snort so...

Schrieb ich auch so.
Weißt du was eine Netzwerkmaske ist und warum eine Broadcast-IP nur im Subnetz wirksam ist?

ichitaka

In mühevoller Handarbeit. In meinem Policy-File stecken min. 1 Tag Arbeit (inkl. späterer Anpassungen usw.).

es ist wirklich mühevoll. einfach fand es, als tw neu war.
einfach /etc -R, das gleich für /sbin etc.
wenn aber dann jemand eine Datei (z.b. /etc/spassvogel anlegt sieht man nichts