Dies ist eine statische Kopie unseres alten Forums. Es sind keine Interaktionen möglich.
This is a static copy of our old forum. Interactions are not possible.

hamena314

Zerschmetterling

  • "hamena314" is male
  • "hamena314" started this thread

Posts: 2,032

Date of registration: Aug 31st 2003

Location: Hannover

Occupation: Informatikstudent (d'uh)

1

Tuesday, June 1st 2010, 12:00am

Netzwerkanalyse mit IDS, Snort, Wireshark,...

In meinem Studentenwohnheim gehen wir gemeinsam über eine Standleitung ins Internet.
Leider bleibt nicht aus dass hier Studenten mit ungewarteten Rechnern (Win98, raubkopiert, ohne Updates oder gar Virenscanner,...) surfen und sich Viren einfangen. Einige von denen Scannen dann fröhlich unser Netz und legen damit den Router lahm.
Mit Wireshark kann man sich die Pakete anschaun und nach Viren suchen.
Paket für Paket Analyse ist aber ineffizient weil zeitaufwändig. Darum habe ich mir mal Snort bzw. IDSe (Intrusion Detection Systeme) angeschaut. Snort wird zwar in den höchsten Tönen gelobt, aber der Einarbeitungsaufwand ist recht hoch.

Daher meine Frage: Lohnt es sich für ein 90 Personen Netzwerk Snort zu betreiben, oder gibt es bessere Wege um grossflächig virenverseuchte und EMail spammende Rechner zu finden und ggf. vom Netz zu nehmen?

HAVE PHUN!
Nicht der Wind bestimmt die Richtung, sondern das Segel! (Lao Xiang, China)
  • Send private message

Rick

Mädchen

  • "Rick" is male

Posts: 1,266

Date of registration: Mar 17th 2004

Location: ::1/128

Occupation: Forentroll

2

Tuesday, June 1st 2010, 12:41am

Ich weiß nicht wieviel Möglichkeiten dein Router hat, aber vielleicht geht ja auch was mit netfilter/iptables oder ähnlichem.

Sometimes you've got to ask yourself: Is xkcd shitty today?
  • Send private message

hamena314

Zerschmetterling

  • "hamena314" is male
  • "hamena314" started this thread

Posts: 2,032

Date of registration: Aug 31st 2003

Location: Hannover

Occupation: Informatikstudent (d'uh)

3

Tuesday, June 1st 2010, 9:15am

Der Router hat praktisch keine Möglichkeiten, da er QSC gehört und die mich da nich drauflassen wollen. :thumbdown:

HAVE PHUN!
Nicht der Wind bestimmt die Richtung, sondern das Segel! (Lao Xiang, China)
  • Send private message

Torsten_Bunde

Unregistered

4

Tuesday, June 1st 2010, 10:31am

Re: Netzwerkanalyse mit IDS, Snort, Wireshark,...

Auf was hast Du denn Zugriff bzw. wie willst Du den Verkehr analysieren. Für Server, etc. gibt es natürlich auf Software wie OSSEC HIDS. Wenn Du aber im Endeffekt direkt auf den Netzwerkverkehr als Analysegrundlage angewiesen bist, wirst Du um eine Software wie Snort, Wireshark oder auch Tcpdump nicht umhinkommen. Für Snort gibt es aber mittlerweile auch recht viele Signaturpakete, etc.

jab

Würstchen- und Bierschnorrer

  • "jab" is male

Posts: 149

Date of registration: Oct 26th 2007

5

Wednesday, June 2nd 2010, 11:21pm

Wenn du snort ernsthaft benutzen willst solltest du auf jeden Fall kommerzielle Signaturen nutzen. Wir haben das auch bei einigen Kunden im Einsatz. Allerdings wäre für den Anfang eine normale Firewall auch nicht schlecht um groben Unfug zu verhindern. Auch musst du dir Gedanken machen wie du dein IDS vernünftig in den Packetstrom bekommst.
:thumbup:
  • Send private message

hamena314

Zerschmetterling

  • "hamena314" is male
  • "hamena314" started this thread

Posts: 2,032

Date of registration: Aug 31st 2003

Location: Hannover

Occupation: Informatikstudent (d'uh)

6

Thursday, June 3rd 2010, 4:58pm

Also:
Wir haben 4 hintereinandergeschaltete Switche die in einen Router münden.
Theoretisch könnte ich also ne Kiste zwischen die Switche und den Router klemmen und hätte so Vollzugriff auf die Pakete.
Hatten wir auch schonmal so, aber leider ist der Rechner wegen Altersschwäche mehrfach abgenippelt und als Single Point of Failure hat er dann das Netzwerk lahmgelegt.
Das wollte ich vermeiden indem ich einen Hub einstöpsele und nun im Hub einen Rechner betreibe der den Datenverkehr überwacht. Der soll dann nur wenn er von einer IP verstärkt Probleme bemerkt mir bescheid geben.
So steckt er nich im Datenstrom sondern parallel dazu und kann schonmal keine Fehlerursache sein.

Port Mirroring könnte ich auch mal probieren aber afaik hat das früher aus irgendeinem Grund nicht funktioniert.

Ich möchte das System halt so einfach wie möglich halten, denn falls ich mal hier ausziehe kommt der Admin nach mir her und hat keine Ahnung wie mein selbstgebautes System funktioniert, ich wohne hier praktisch als einziger Informatiker in einem Haus mit 100 Studenten, die Wahrscheinlichkeit dass der Nachfolger kein Informatiker is is hoch. :)

@jab: Warum sind die kommerziellen Signaturen besser? Lohnen sich die "veralteten" freien nicht oder wie kommt das?

HAVE PHUN!
Nicht der Wind bestimmt die Richtung, sondern das Segel! (Lao Xiang, China)

This post has been edited 1 times, last edit by "hamena314" (Jun 3rd 2010, 5:00pm)

  • Send private message

jab

Würstchen- und Bierschnorrer

  • "jab" is male

Posts: 149

Date of registration: Oct 26th 2007

7

Sunday, June 6th 2010, 1:33am

Naja mit den Freien kommt man nicht weit. Man will ja auch aktuelle Virenschleudern erkennen. Ich würde es an deiner Stelle mit einem Mirror Port versuchen. Mit nem Hub wirste vermutlich nicht wirklich glücklich. Denk auch daran, dass dein Mirrorport die doppelte Bandbreite von dem orginal Port haben muss, wenn er auch unter Vollast noch funktionieren soll.

Nen IDS ist immer nur so gut wie die Signaturen. Außerdem kannste davon ausgehen, dass du immer gut False Positives hast. Die Ergebnisse wollen regelmäßig ausgewertet werden. Das ist ein nicht zu verachtender Aufwand. Evtl ist eine ordentlich konfigurierte Firewall eine einfachere Sache für eure Zwecke.
:thumbup:
  • Send private message