"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

snort

kleinerChemiker 15.03.2006 - 18:50 4323 15
Posts

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4289
ich bin gerade dabei, einen kleinen heimserver auf debian-basis aufzusetzen. natürlich mach ich mir auch ein wenig gedanken über die sicherheit, da er direkt an netz gehen wird. jetzt bin ich auf snort gestoßen. ist das was für mich oder overkill? kompliziert zu konfigurieren? sonstige tips, infos wichtiges zu wissen?

folgendes wird voraussichtlich am server laufen
vdr (satreceiver&videorekorder)
samba
ssh
apache/php
mysql
mldonkey
webmin (aber nur, wenn ich ihn vorher mittels ssh starte)
vermutlich ein ftp

tia

MIK

DJ_Cyberdance

Here to stay
Avatar
Registered: Jun 2002
Location: Vesterålen
Posts: 1838
Snort ist relativ simpel zu konfigurieren, meldet aber eine ganze Menge false positives. Dh. bringt nur was, wenn Du auch eine Ahnung hast, was die Meldungen von Snort bedeuten.

Wenn Dus sicher haben willst, würd ich mir auf alle Fälle iptables anschauen und damit eine passende Firewall schrauben. Wenn Du so richtig paranoid bist, kannst Dus mit mehreren Rechnern versuchen. Das müssen nicht zwingend mehrere physikalische Rechner sein, Du kannst UML (User Mode Linux) verwenden, um mehrere Linux-Instanzen auf einem Rechner laufen zu lassen. Dann kannst Du eine wunderbare Firewall mitsamt DMZ etc. auf nahezu beliebig vielen virtuellen Rechnern einrichten.

Um nochmal auf die Frage zurückzukommen, wenn Du Ressourcen frei hast, dann verwend Snort, schaden tuts bestimmt nicht, aber mach alle Ports mit iptables von außen zu und erlaub nur was nötig ist.

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4289
danke mal für die infos.

paranoid bin ich eigentlich nicht, aber da ich eigentlich vor habe, am server auch alle wichtigen daten zu speichern mittels netzlaufwerk (hat ein 1tb raid5) will ich nicht offen wie ein scheunentor sein. eigetnlich gehts mir weniger um meldungen, sondern daß der rechner zu ist. z.b. daß auch bei einem portscan die ip gleich mal geblockt wird usw.

nachdem ich die doks angeschaut habe, frag ich mich immer noch, was der unterschied zwischen inline und ids mode ist. einzige was ich rausgefunden habe, daß inline sich bei iptables einklinkt. was ist jetzt "besser"? ich vermute mal inline, da ich dann iptable anweisen kann die packets zu droppen, oder?

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
Mach das lieber mit nem IPCop als Firewall davor. Alle Ports die gebraucht werden kannst du weiterleiten. Das ruleset von IPCop sollte für deine Anforderungen passen und snort ist vorinstalliert.

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4289
ich hab aber keinen rechner davor und ein weiterer pc ist keine option.

eigentlich such ich ja nur ne firewall, die nen einbruchsversuch erkennt und blockt. klingt wohl einfacher, als was es ist *Gg*

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
Snort ist nur ein IDS. Das hat mit firewall nichts zu tun. Und ne Firewall ist nicht ein Stück Software auf einem Rechner sondern eine dedizierte Maschiene.

master_burn

Editor
Loading . . 40% . . . 50%
Avatar
Registered: Jul 2001
Location: near Quasi
Posts: 2472
Zitat von Crash Override
Snort ist nur ein IDS. Das hat mit firewall nichts zu tun. Und ne Firewall ist nicht ein Stück Software auf einem Rechner sondern eine dedizierte Maschiene.
Wir alle haben "Firewalls" installiert und niemand hat dafür ne extra maschine :rolleyes:
Im professionellen Berich natürlich, .. aber als homeuser is das dann wirklich overkill.
btw soweit ichs verstanden hab hat er ne worksatation (oder mehrere) und einen fileserver, der nebenbei noch gateway spielt. Da dann noch ne extra maschine dazwischen nur für a firewall? unnötig

@threadstarter .. sollte portblockierung ned reichen bei linux? damit sollten eh 99% der Angriffe abgewehrt werden..

kleinerChemiker

Here to stay
Avatar
Registered: Feb 2002
Location: Wien
Posts: 4289
also,...*gg*
ich hab nen wlanrouter. an dem hängt mien pc, laptop und eben der server. da der raouter leider beschissen ist, ich aber kein geld für nen neuen habe, muß ich diese pseudo-dmz auf den server schalten. sprich alles von außen geht direkt auf den server.

ports zumachen solllte schon reichen, nur wenn es auch die möglichkeit, daß die firewall auch gleich angriffe erkennt und darauf reagiert (ip blocken, loggen) wäre es halt nett. werde vermutlich auch bastille mal drüberlaufen lassen und mir die vorschläge ansehen.

moidaschl

Vollzeit-Hackler
Avatar
Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029
ip blocken kann netfilter automatisch

DJ_Cyberdance

Here to stay
Avatar
Registered: Jun 2002
Location: Vesterålen
Posts: 1838
Zitat von Crash Override
Mach das lieber mit nem IPCop als Firewall davor. Alle Ports die gebraucht werden kannst du weiterleiten. Das ruleset von IPCop sollte für deine Anforderungen passen und snort ist vorinstalliert.

Meine Güte, Du läßt ja wirklich keine Gelegenheit aus für IPCop zu werben... Prinzipiell stimmt das mit dem dedizierten Rechner, aber wie ich schon eingangs erwähnt habe, ist es für den Privatparanoiker völlig ausreichend, einen virtuellen Rechner zu verwenden. Mittels SKAS ist der Zugriff auf das Hostsystem nicht möglich, wie gesagt, UML tuts auch.

Wer nicht so paranoid ist kann seine paar iptables-Rules auch direkt am Server laufen lassen. Klar ist das nicht so sicher, aber wenn wir uns ehrlich sind, ist es für den Durchschnitts-Heim-Server ausreichend. Nichts kommt rein außer. (Mir auch nicht sympathisch, aber objektiv betrachtet muß man zu diesem Schluß kommen.) Zusätzlichen Schutz bieten Port knocking Daemons.

Und wens glücklich macht, der kann auch IPCop verwenden. Das ist aber IMO ein gewaltiger Overkill, die paar iptables-Rules, die man für eine gute Firewall braucht, kann man sich auch so aneignen und fressen nicht sinnlose Resourcen. (Meine Firewall _ist_ ein dedizierter Rechner, der von CF bootet und alle Rules im RAM hat - plus Ramdrive, insgesamt satte 64MB. System ist ein Minimal-Debian mit ~10MB. Glaub nicht, daß IPCop auch nur irgendwas besser kann.)

Es ist halt DAU-freundlich, aber sicher nicht ressourcensparend. Auch vom Sicherheitsaspekt überzeugt mich IPCop nicht - denn damit IPCop läuft, müssen in der Regel daufreundlicherweise auch Services wie http-Server laufen. Richtigerweise sagst Du, daß eine Firewall ein dedizierter Rechner sein sollte. Genauso richtig ist aber auch, daß auf diesem Rechner möglichst wenig Services laufen sollen - und möglichst kein Tool auf diesem Rechner vorhanden ist, das überflüssig ist. Jeder zusätzliche Service bietet einen zusätzlichen potentiellen Angriffspunkt.

Sei mir bitte nicht böse, IPCop hat seine Daseinsberechtigung und seine Vorteile, aber eine professionelle Firewall ersetzt es in meinen Augen nicht.

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6490
Hallo Leute, ich möchte mit zwei Raspberry Pis mit Archlinux zwei Snort Sensoren als IDS (Intrusion Detection System) einsetzen, einen vor und einen nach der klassischen IPS-Firewall Richtung WAN-Seite.

Hat jemand von euch bereits damit Erfahrung?
Ich habe zwar eine Installationsanleitung für die Raspberry Pi Snort Box von instructibles.com, aber mit Archlinux und Snort kenne ich mich noch nicht wirklich aus.

Es wäre interessant zu erfahren wie gut das funktioniert, in erster Linie stellt sich mir die Frage, ob man für den Zeitaufwand eine gut funktionierende Lösung erhalten kann, oder ob man nicht vielleicht doch lieber auf ein fixfertiges IDS setzen sollte.

http://www.instructables.com/id/Ras...Detection-Syst/

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
Was soll dir snort vor der Firewall zeigen? Wie man schnell die Logs zumüllt? Du willst wissen was durch die Firewall durchkommt, nicht was daran verpufft. Hinter der Firewall bringt es auch nur was, wenn man dafür Sorge trägt dass alles dort ankommt was reinkommt. (z.B.: monitoring Port am switch und die Netzwerkkarte im promisc. Modus)

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6490
Erstmal geht es mir darum Erfahrungen mit IPS/IDS auf Linux-Basis zu sammeln, deswegen will ich einerseits die Möglichkeit haben alles zu sehen und dann eben noch das, was durch die ASA durchgeht. Also das Setup wäre nicht für den Produktiveinsatz gedacht, sondern nur zum schauen und lernen.

Nico

former person of interest
Registered: Sep 2006
Location: -
Posts: 4082
warum machst du es nicht in einer VM wenns nur zum lernen is?

mr.nice.

differential image maker
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6490
Guter Einwand Nico, ich glaub' ich will einfach etwas basteln. So eine Raspberry Pi Snort Firewall mit einem oder mehreren Sensoren, platzierbar im Netzwerk wo man sie braucht, das scheint mir ein gutes Projekt zu sein. Ich berichte wenn es Neuigkeiten gibt.
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz