hi,

also ich würde von euch gerne wissen, wo ihr die stärken von dragen und snort seht. also welches im welchem bereich besser ist. ich finde dragen super genial. ich bekomme täglich neue signaturen und das 1 jahr lang. außerdem sieht mein chef, dass alles bunt und schön ist. das rack ist auch fett. fetter nachteil, die knapp 50.000 euro anschaffungspreis

so jetzt zu snort.

wer snort beherrscht, der kann sich glücklich schätzen, man kann mit php die einträge schön aus der datenbank auslesen. alles toll alles wunderbar. für ein gut eingerichtetes snort brauche ich min. 1 Tag (oder wie derzeit 4 tage, weil ihc die ficken lib nicht zum laufen bekomme). es ist nix bunt und alles kacke ;). aber es funktioniert mindestesn genauso gut. regeln zu entwerfen ist so ne sache, das muss immer ich machen, weil sich kein anderer die syntax merken mag. aber ist halt kostenlos und oss.

joey

Hi,

die Stärken von dragen kenne ich nicht, weil ich nicht €50000,- für so etwas ausgeben würde.

Ob snort nun schwer oder umständlich zu konfigurieren ist, kann ich so auch nicht beurteilen - vielleicht, weil der konzeptionelle Aufbau ein anderer ist.
Nur sind die Filter nun wirklich nicht schwer zu modifizieren, aber es ist halt ein tool, bei dem man wissen muß, wie ein Netzwerk funzt, und wie welche Daten zu erhalten/interpretieren sind.
Für reine klicki-bunti Nutzer ist es da halt ungeeignet - aber die wissen eigentlich auch nichts mit den Ergebnissen der klicki-bunti Programme anzufangen .... außer dort steht explizit:
"Please consult your dba ..." oder so. ;)

Gruß

Das fette an snort ist ja eigentlich, dass du mit den filterregeln sehr viel macht hast. du kannst wirklich alles setzten. das geht bei dragen nicht, da dragen für leute geschrieben wurde, die wissen, dass es domänen und sowas gibt - also die halt planlos rumlaufen. die signaturen werden automatisch (ählihc zu einem virenscanner) eingespielt.

so einfach sind die regeln bei snort auch nicht, ich schreib seit einigen tagen an einem webinterface für snortregeln (und an einem neuen snortreport, da der jetztige wirklich *******e ist) und es ist wirklich nicht leicht das über das web zu realisierne (so dass auch domänenbenutzer regeln einrichten können), denn dafür sind die optionen zu vielschichtig.

meine meinung

joey

Also für Snortreports und Logfileüberwachung, kann ich ACID (http://www.cert.org/kb/acid/) nur empfehlen.

gibt es fuer snort ein Webmin Modul, dass das ganze Vereinfacht. Um "richtige" Regeln zu schreiben braucht man aber schon ein wenig Background in Sachen IP- Protokolle.
Ist auch besser so, find ich, ansonsten wurde die Datenbank frueher oder spaeter zugemuellt werden.
Neue/aktuelle Regeln kann man sich auch im Snort Forum holen --> ctrl-C ctrl-V ;)

Das andere Tool kenne ich auch nicht, hoert sich aber wie ein WinDesktopFirewall an :D
und fuer 50.000€,- kann man sich jemanden einstellen, der einem Snort konfiguriert und administriert. :D :D :D

T;o)Mes

P.S.: Ach so, und fuer ein groesseres Netz braucht man fuer ein richtiges IDS auch mehr als nur einen Waechter.

die signaturen werden automatisch (ählihc zu einem virenscanner) eingespielt.
Was soll daran gut sein ? so etwas kommt doch immer erst dann, wenn das "Kind" in den Brunnen gefallen ist.
Acid, ein Bild dazu -->http://www.linuxinfoserver.de/forums/attachment.php?s=&postid=225268