Hallo,
ih habe mir nun einige threads zum thema sicherheit durchgelesen und es taucht dort immer wieder die rede vom ids auf.
ich glaube gelesen zu haben, das grade mit iptables ein ids sinnvoll ist.:confused:
welches könnt ihr empfehlen?
thx soc.
ps: nutze redhat 9, iptables als router und webserver.

Ein Netzwerkbasiertes IDS.

Snort

www.snort.org

hi DaGrr und alle anderen,
ich habe gestern abend(nacht) noch snort installiert (+jpgraph,adodb und acid),
wenn ich jetzt meine entsprechende url aufrufe um mit acid die files anzusehen, bekomme ich nur eine dateiansicht (im ie6 änhlich einem ftp verzeichnis).
beim klick auf index.html komme ich zwar zur startseite, aber dort dort sind keine einträge drin.
habe gestern aber noch mal zur sicherheit den befehl:
tail -f var/log/snort/alert eingegeben und hatte dort auch gleich einen eintrag.
wie kann das sein - btw was mache ich falsch?

wenn man die konfig von acid kennt, dann kann doch eigentlich jeder per web darauf zugreifen, das kanns doch auch nicht sien oder??

thx soc.
benutze redhat9 (LAMPS) + iptables

Hi,

sichere den Bereich dort doch mittels .htaccess Dateien ab.
dann wird vor dem Zugriff nach einer Authentifizierung gefragt.

Bzgl. der index.html Dateien: Du mußt dem Webserver (apache??) mitteilen, daß er beim Zugriff auf das Verzeichnis eben jene Datei "ausführt", bzw. darstellt.
(DirectoryIndex index.html)

Gruß

Moin,

wie doll willst du dich mit dem Thema IDS auseinandersetzen? Ich denke, wenn du eine "installiert und läuft" Lösung suchst, bist du bei Snort an der falschen Adresse. Versteh' mich nicht falsch, das Programm ist echt gut, das will ich gar nicht anders sagen. Das Problem ist nur, daß du (beispielsweise) den Regelsatz auf deine Gegebenheiten anpassen solltest. Auch die Aufbereitung der Ausgaben ist ein echtes Problem. (Ich hab mal mit 'nem einfach Portscan über 8000 Warnungen gehabt).

Als "einfache" Lösung würde ich einen File Integrity Scanner (Tripwire) empfehlen. Es gibt da genauso eine freie Variante wie Snort sie ist.

Nur so ein Gedanke...

hi,

am besten Snort und Tripwire einsetzen ...

ABER .. beide kannst du nicht laufen lassen, ohne dich mit dem Thema Sicherheit und
natürlich ausführlich mit den Programmen auseinander zu setzen.
Snort bringt dir nicht viel, wenn du die Regeln nicht anpassen kannst und somit mit
Meldungen zugemüllt wirst. Dann schaust zu 2 Wochen rein und dann nicht mehr,
das Regelwerk muss wachsen und deinen Bedürfnissen angepasst werden.

Wenn du beide Programme nur mal installierst weil sie gerade IN sind, dann
hast du kaum einen Nutzen davon ...

grüsse,

Ich habe gestern angefangen mich in snort reinzufummeln.
Das RH9 Tutorial von www.snort.org -> Documentation hat mir sehr geholfen bei der Installation.
Ich nutze SuSE 8.2 Pro und hatte keinerlei Probleme.