Hallo.
Ich habe ersteinmal zum testen Debian 3.1 unter VMWare 5.5 (Windows XP Prof.) installiert.
Die Installation lief problemlos ab. Ich habe die Netinstall-Version ca. 100 MB genommen.
Ich habe also eine Grundinstallation gemacht. Ich weiss, dass man mit APT-GET oder mit
APTITUDE (offizell von Debian) Programme installiern kann.
Wie installiere ich jetzt nun ein IDS-System unter mein Debian?
Ich will ein IDS-System zum laufen bekommen und dieses auch von Windows aus per
Webbrowser drauf zu greifen um die Angriffe etc. anzugucken. Snort sagt mir was.
Aber ich weiss jetzt nicht wie ich nun das ganze anpacken soll.
Kann mir vielleicht jemand helfen?
Gruß
defcon7
EDIT
Mein Aufbau momentan:
INTERNET --- DSL-MODEM --- ROUTER / FIREWALL --- CLIENTS
Zukünftiger Aufbau:
INTERNET --- DSL MODEM --- ROUTER / FIREWALL --- IDS --- CLIENTS
IDS unter Debian 3.1 Sarge einrichten
Nun fangen wir mal an.
IDS gehört auf den Router, alternativ auf die bridschende Kiste dahinter. Da muss aller Traffic durch, nur wirst du dort nur noch locale Angriffe erkennen können. Darum, gehört die ids auf den router.
ABER es gehört einiges an Wissen dazu die Logs richtig zu lesen. Und es ist beruhigender wenn man die Kiste richtig zu macht. Iptables, und keine Dienste nach außen anbietet.
Fall ich dich damit nicht abhalten kann, geb ich dir den dringenden Rat, viel zu Lesen.
Auch was die Theorien dahinter betrifft, weils ein riesen Gebiet ist und man leicht was falsch machen kann.
Ryven
IDS gehört auf den Router, alternativ auf die bridschende Kiste dahinter. Da muss aller Traffic durch, nur wirst du dort nur noch locale Angriffe erkennen können. Darum, gehört die ids auf den router.
ABER es gehört einiges an Wissen dazu die Logs richtig zu lesen. Und es ist beruhigender wenn man die Kiste richtig zu macht. Iptables, und keine Dienste nach außen anbietet.
Fall ich dich damit nicht abhalten kann, geb ich dir den dringenden Rat, viel zu Lesen.
Auch was die Theorien dahinter betrifft, weils ein riesen Gebiet ist und man leicht was falsch machen kann.
Ryven
Nun IPCOP ist aus meiner Sicht keine IDS.
Dazu fehlen zuviele Pakete.
Aber einen Router aufsetzen, logcheck, fail2ban installieren wäre schon mal ein Anfang.
Wenn man dann noch Lust hat kann man mit Snort die Interface auf Anormalitäten beobachten. Jedoch fängsts genau hier an: was ist normal?
Dafür brauchts gute Kenntise von TCP.
Ryven
Dazu fehlen zuviele Pakete.
Aber einen Router aufsetzen, logcheck, fail2ban installieren wäre schon mal ein Anfang.
Wenn man dann noch Lust hat kann man mit Snort die Interface auf Anormalitäten beobachten. Jedoch fängsts genau hier an: was ist normal?
Dafür brauchts gute Kenntise von TCP.
Ryven
-
habakug
- Moderator
- Beiträge: 4314
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
IDS unter Debian 3.1 Sarge einrichten
Hallo!
@Ryven
Welche Pakete fehlen?
IPCop enthält Snort [1]. Ich weiss nicht was da fehlen soll.
Gruß, habakug
[1] http://www.ipcop.org/1.4.0/en/admin/htm ... rvices_ids
@Ryven
Welche Pakete fehlen?
IPCop enthält Snort [1]. Ich weiss nicht was da fehlen soll.
Gruß, habakug
[1] http://www.ipcop.org/1.4.0/en/admin/htm ... rvices_ids
