Ganeymed
13.06.05, 16:33
Hallo,
Ich bin Student an der FH-Köln und habe vor 3 Wochen
mit meiner Diplomarbeit begonnen. Ich hatte vorher noch nie mit IDS zu tun, daher ist das alles Neuland für mich.
Ich soll ein LAN gegen Angriffe von außen schützen und Angriffe erkennen. In das Netz, darf ich nicht eingreifen,
mir wurde nur erlaubt meinen Aufbau vor dem letzten (oder
ersten) Router vorzunehmen. Es soll eine Firewall mit DMZ
und IDS zwischengeschaltet werden.
Das ganze soll mit Linux und Open Source realisiert werden.
Etwa so:
http://www.ganeymed.de/pixx/fw_ids/001.jpg
Die Firewall und der Proxy machen mir kein Kopfzerbrechen, allerdings habe ich einige Verständnisprobleme beim IDS.
Zunächst habe ich also versucht ein Grobkonzept zu erstellen, und wollte das NIDS (Snort) auf der Firewall selbst installieren.
Nach dem Lesen des Buches "Intrusion Detection und Prevention mit Snort2 und Co" und Recherche im Internet kommen mir jedoch Zweifel daran.
Vielmehr müsste das ganze dann so aussehen:
http://www.ganeymed.de/pixx/fw_ids/002.jpg
Der Switch sollte einfach den Verkehr auf einem Monitor oder
Mirrorport abbilden und Snort schaut sich das an.
Es soll nur überwacht werden, was von innen nach außen und umgekehrt geht.
Bis hierher verstehe ich das alles.
Nun würde ich aber gerne noch den SIP Server und die
Firewall mit einen HIDS überwachen. Damit die Logs nicht an
jedem Rechner einzeln zusammengesucht werden müssen, würde
ich das gerne zentralisieren. Außerdem soll für meinen nachfolger, der das
ganze später mal warten soll ja auch ein einheitliches Frontend zur
Verfügung stehen.
Und hier kommt Prelude ins Spiel.
In dem Buch "Intrusion Detection und Prevention mit Snort2 und Co" Seite 381 ist ein kleines Bildchen.
Dies zeigt eine verteilte Struktur.
Hierzu sind Prelude Manager nötig.
Was ich nicht verstehe, ist ob Analysestation und Manager ein und der selbe Rechner sein können?
Kann Snort auf dem selben Rechner laufen?
Brauch ich Snort überhaupt, wenn ich Prelude verwende?
Oder muß das tatsächlich verteilt werden?
Kann ich das so realisieren?:
http://www.ganeymed.de/pixx/fw_ids/003.jpg
Oder ist der Ansatz schon schlecht und ich nehme nur Snort mit ACID als Frontend? Dann habe ich aber das Problem, daß ich die HIDs nicht zentral einbeziehen kann. Oder gibt's da ne Übergabemöglichkeit?
Ach ja, und dann habe ich noch eine Frage bezüglich der Systemvoraussetzungen. Mein Professor möchte eine "Einkaufliste" mit Mindestvoraussetzungen von mir haben.
Wie schnell muß der Proz. mindestens sein, wieviel RAM ist
minimum? Wie groß sollte die Platte sein?
Wo kann ich da Informationen finden?
Ich habe mich schon durch ne Menge FAQs, Howtos und Berichteseiten gefressen, aber nichts brauchbares gefunden.
Bin für jede Hilfe Dankbar
Viele Dank und viele Grüße
Ganeymed
Ich bin Student an der FH-Köln und habe vor 3 Wochen
mit meiner Diplomarbeit begonnen. Ich hatte vorher noch nie mit IDS zu tun, daher ist das alles Neuland für mich.
Ich soll ein LAN gegen Angriffe von außen schützen und Angriffe erkennen. In das Netz, darf ich nicht eingreifen,
mir wurde nur erlaubt meinen Aufbau vor dem letzten (oder
ersten) Router vorzunehmen. Es soll eine Firewall mit DMZ
und IDS zwischengeschaltet werden.
Das ganze soll mit Linux und Open Source realisiert werden.
Etwa so:
http://www.ganeymed.de/pixx/fw_ids/001.jpg
Die Firewall und der Proxy machen mir kein Kopfzerbrechen, allerdings habe ich einige Verständnisprobleme beim IDS.
Zunächst habe ich also versucht ein Grobkonzept zu erstellen, und wollte das NIDS (Snort) auf der Firewall selbst installieren.
Nach dem Lesen des Buches "Intrusion Detection und Prevention mit Snort2 und Co" und Recherche im Internet kommen mir jedoch Zweifel daran.
Vielmehr müsste das ganze dann so aussehen:
http://www.ganeymed.de/pixx/fw_ids/002.jpg
Der Switch sollte einfach den Verkehr auf einem Monitor oder
Mirrorport abbilden und Snort schaut sich das an.
Es soll nur überwacht werden, was von innen nach außen und umgekehrt geht.
Bis hierher verstehe ich das alles.
Nun würde ich aber gerne noch den SIP Server und die
Firewall mit einen HIDS überwachen. Damit die Logs nicht an
jedem Rechner einzeln zusammengesucht werden müssen, würde
ich das gerne zentralisieren. Außerdem soll für meinen nachfolger, der das
ganze später mal warten soll ja auch ein einheitliches Frontend zur
Verfügung stehen.
Und hier kommt Prelude ins Spiel.
In dem Buch "Intrusion Detection und Prevention mit Snort2 und Co" Seite 381 ist ein kleines Bildchen.
Dies zeigt eine verteilte Struktur.
Hierzu sind Prelude Manager nötig.
Was ich nicht verstehe, ist ob Analysestation und Manager ein und der selbe Rechner sein können?
Kann Snort auf dem selben Rechner laufen?
Brauch ich Snort überhaupt, wenn ich Prelude verwende?
Oder muß das tatsächlich verteilt werden?
Kann ich das so realisieren?:
http://www.ganeymed.de/pixx/fw_ids/003.jpg
Oder ist der Ansatz schon schlecht und ich nehme nur Snort mit ACID als Frontend? Dann habe ich aber das Problem, daß ich die HIDs nicht zentral einbeziehen kann. Oder gibt's da ne Übergabemöglichkeit?
Ach ja, und dann habe ich noch eine Frage bezüglich der Systemvoraussetzungen. Mein Professor möchte eine "Einkaufliste" mit Mindestvoraussetzungen von mir haben.
Wie schnell muß der Proz. mindestens sein, wieviel RAM ist
minimum? Wie groß sollte die Platte sein?
Wo kann ich da Informationen finden?
Ich habe mich schon durch ne Menge FAQs, Howtos und Berichteseiten gefressen, aber nichts brauchbares gefunden.
Bin für jede Hilfe Dankbar
Viele Dank und viele Grüße
Ganeymed