Beiträge von ahuser

  • SNORT vs CPU

    Ich war gerade auf der Suche nach Snort und CPU last, bin dann hier drauf gestoßen.
    Warum das momentan so eine Last bei mir verursacht hab ich noch nicht raus, aber ich kann eventuell einige Fragen beantworten.

    Vorab:
    Snort ist mächtig und hilfreich wenn man einige Mail, Web, FTP etc. Dienste auf Servern dahinter am laufen hat.
    Snort sollte daher auf jedenfall laufen um sich vor div. Exploits zu schützen.

    Zitat

    Ich habe alle Regeln aktiviert leider habe ich bis jetzt im Protokoll noch kein einzigen Eintrag gesehen !
    Ob Snort überhaupt Funktioniert ?

    Ja das tut Snort und zwar richtig gut!
    Snort kann man entweder als IDS oder als IPS verwenden (nicht beides zusammen für eine Regel)

    - IDS (Erkennung und Protokollierung, Alert) "Symbol Warnschild mit Ausrufezeichen" Nimmt aber keine Maßnahmen vor!
    D.h. Snort erkennt nur, tut aber nichts! In der Log (Livelog) sind die versuchten Angriffe zu sehen gegen die man vorgehen kann.

    - IPS (Erkennen und blocken) "Keine Protokollierung!" Daher wird in den logs und im Livelog auch nichts angezeigt.
    Snort Blockiert aktiv die Angriffe (rotes Schild) ist in den Livelogs nichts zu sehen macht Snort seine Arbeit gut :D

    Hin und wieder stelle ich Snort auf Protokollierung um, werte das aus und schnappe mir die "bösen" IP- Ranges (meist Asiaten) und packe diese in die Firewall Rules zum blocken.
    Das hilft oft die Last von den Maschinen zu nehmen da keine Daten mehr fließen und Snort dann auch nicht viel zu tun hat.
    Allerdings können diese IPs nicht mehr auf die dahinter liegenden Web oder FTP Dienste zugreifen.
    Bis jetzt hat sich jedoch noch kein Kunde beschwert dass sein Asiatischer Freund nicht auf die Website kommt oder keine Mails an die Server verschicken kann.

    Zitat

    arminf Wer keinen Webserver betreibt braucht die Rules nicht
    Gleiches für SIP, VOIP und andere. Das mindert SNORT gleich mal um ein paar tausend Regeln welche man nicht scannen muss.

    das ist richtig! Kein Websever etc. hat, dann braucht man diese Rules auch nicht aktivieren. Andere Rules sind aber dennoch zu starten.
    Hilft auch gegen Würmer und andere Schädlinge in dahinter liegenden Windows Systemen.

    Hier etwas über den aktuellen Entwickler zum lesen http://www.sourcefire.com

    Viel Spaß!
    LG Andreas