amun
06.10.07, 00:09
hallo,
ich habe snort per apt-get installiert und benutze die mitinstallierte "snort.conf", die ich nur minimal verändert habe.
dort habe ich folgende einstellungen zum thema portscans:
---------------------------------------------------
preprocessor flow: stats_interval 0 hash 2
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high }
----------------------------------------------------
zwei dinge laufen nun nicht so wie ich es mir vorgestellt habe:
1. es werden irgendwelche portscans aus dem internet erkannt:
wir haben eine standard heim-netz mit einem WLAN-router über den sich ein paar workstations den DSL-anschluss teilen.
portforwarding ist deaktiviert. wie ist es dann möglich, dass portscans aus dem internet meinen rechner erreichen? die portscans sind laut snort an meinen rechner, auf dem auch snort installiert ist, gerichtet (die ziel-ip-adresse ist meine lokale ip-adresse).
2. portscans aus dem LAN auf meinen rechner werden nicht erkannt:
um snort zu testen habe ich von einer anderen workstation im LAN einen portscan auf meinen rechner durchgeführt. snort registriert ihn nicht!
werden rechner aus dem LAN automatisch als vertrauenwürdig angenommen?
in der "snort.conf" wird eine variable "HOME_NET" definiert. muss ich die vielleicht irgendwie anpassen?
welche auswirkungen hat es genau wenn eine ip-range in dieser variable steht?
vielen dank im vorraus!
ich habe snort per apt-get installiert und benutze die mitinstallierte "snort.conf", die ich nur minimal verändert habe.
dort habe ich folgende einstellungen zum thema portscans:
---------------------------------------------------
preprocessor flow: stats_interval 0 hash 2
preprocessor sfportscan: proto { all } \
scan_type { all } \
sense_level { high }
----------------------------------------------------
zwei dinge laufen nun nicht so wie ich es mir vorgestellt habe:
1. es werden irgendwelche portscans aus dem internet erkannt:
wir haben eine standard heim-netz mit einem WLAN-router über den sich ein paar workstations den DSL-anschluss teilen.
portforwarding ist deaktiviert. wie ist es dann möglich, dass portscans aus dem internet meinen rechner erreichen? die portscans sind laut snort an meinen rechner, auf dem auch snort installiert ist, gerichtet (die ziel-ip-adresse ist meine lokale ip-adresse).
2. portscans aus dem LAN auf meinen rechner werden nicht erkannt:
um snort zu testen habe ich von einer anderen workstation im LAN einen portscan auf meinen rechner durchgeführt. snort registriert ihn nicht!
werden rechner aus dem LAN automatisch als vertrauenwürdig angenommen?
in der "snort.conf" wird eine variable "HOME_NET" definiert. muss ich die vielleicht irgendwie anpassen?
welche auswirkungen hat es genau wenn eine ip-range in dieser variable steht?
vielen dank im vorraus!