anoniem Geplaatst: 28 januari 2003 Delen Geplaatst: 28 januari 2003 Ik twijfel of ik als NIDS snort zal gaan inzetten. Wie gebruikt een NIDS? Wat zijn je ervaringen? Kan snort op tegen professionele NIDS-en zoals Cisco-IDS? Kent iemand een site anders dan snort.org waarmee ik snel wegwijs krijg om snort te configgen met al die lastige rules? Quote Link naar reactie
anoniem Geplaatst: 28 januari 2003 Auteur Delen Geplaatst: 28 januari 2003 [quote:0d8aca675f="MrLeeJohn"]Ik twijfel of ik als NIDS snort zal gaan inzetten. Wie gebruikt een NIDS? Wat zijn je ervaringen? Kan snort op tegen professionele NIDS-en zoals Cisco-IDS? Kent iemand een site anders dan snort.org waarmee ik snel wegwijs krijg om snort te configgen met al die lastige rules?[/quote:0d8aca675f] En wat mag dat dan wel wezen ?? We zij niet allemaal sysbeheer hoor MrLeeHohn :-? Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 ik kan het wel installeren, maar niet testen :( md5sum -c <een of andere url> werkt altijd ;) snort schijnt wel goed te zijn, maar ik weet er te weinig van :( Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 Snort is een NIDS; network intrusion detection system. Het werkt een beetje als een sniffer, maar detecteert bepaalde dingen op het netwerk. Zoals een portscan of een dos-attack. Als packets aan bepaalde voorwaarden (rules) voldoen worden ze gelogd of laten een alert afgaan. Zie www.snort.org Ik heb het kort getest.... leek wel ok.... en nu wilde ik graag weten of er mensen zijn die dat ook gebruiken ipv een professionele NIDS. Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 Ik denk dat Snort een hele goeie IDS is..PortSentry is wat simpeler maar met Snort kan je erg veel doen..heb het een tijdje gedraait en de logfiles bekeken en kmoet zeggen dat de logfiles erg duidelijk zijn. Ik kan het je zeker aanraden ..alleen wat ik raar vond is als ik een portscan via scan.sygate.com deed, dat toch alle poorten werden na gegaan en ik niks in mijn snort.log of alert.log kon vinden :cry: M. Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 Ik zou ook naar portsentry kijken omdat het ook scans detecteert, ze vervolgens kan loggen, routes kan veranderen zondat een host/netwerk ontoegankelijk wordt voor de scannende host, iptables kan gebruiken om hosts te blokkeren of hosts kan toevoegen aan hosts.deny, zodat ze geen toegang krijken tot services die via tcp wrappers werken. Er is zover mij is opgevallen meer docu voor portsentry, btw. KayJay had er ook nog een goed artikel over geschreven. Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 Ik wil snort gebruiken omdat het ook voor andere (ook niet-Linux) pc's en servers intrusions kan detecteren (in sniffing mode). Quote Link naar reactie
anoniem Geplaatst: 29 januari 2003 Auteur Delen Geplaatst: 29 januari 2003 De meeste "security" boeken die uitkomen prefereren portsentry samen met logsentry (voorheen logcheck) Dit is ook de reden waarom wij beroepsmatig portsentry op onze servers mikken.. Wat snort kan doen, weet ik verder niet..maar in de praktijk hoor ik weinig over snort. Ben wel blij dat je het begrip (N)IDS weer ter sprake brengt, want er denken toch veel mensen dat met een iptables, het uitzetten van services, en wat wijzigigen van rechten in je FS het beveiligen van Unix/Linux servers ophoudt Quote Link naar reactie
Aanbevolen berichten
Om een reactie te plaatsen, moet je eerst inloggen