Netzwerk-Überwachung mit Snort

Windows-Sensor

Vor allem in geswitchten Netzwerken oder in solchen mit mehreren IP-Subnetzen kommt man mit nur einem Sensor nicht aus. Deshalb bietet es sich an, zusätzliche Rechner als Sensoren einzusetzen. Dies ist auch auf Arbeitsrechnern möglich, da snort in einem solchen Fall nicht allzu viel Rechenleistung für sich beansprucht. Immerhin kommen ja nur wenige Pakete bei den Rechnern an einem Switchport an.

Generell gilt, dass ein Sensor dieselbe Snort-Version benutzen sollte wie der primäre Snort-Rechner. Ansonsten kann es Probleme bei den Regeln und der Datenbank geben. Um einen Windows-Rechner als Sensor zu betreiben, laden Sie sich von der Site WinSnort die Windows-Binaries herunter. Damit es zusammen mit der WHAX-Distribution funktioniert, benötigen Sie die Version 2.3.3. Zusätzlich ist eine aktuelle Release-Version von WinPcap erforderlich.

Führen Sie den Installer aus und lassen Sie das Paket im Verzeichnis C:\Snort einrichten. Nun sind noch einige Änderungen an der Datei C:\Snort\etc\snort.conf fällig, damit der Sensor arbeiten kann. Dies betrifft insbesondere sämtliche Pfadangaben. Suchen Sie zunächst nach der Zeile

var RULE_PATH /etc/rules

und ersetzen Sie diese durch

var RULE_PATH C:\Snort\rules

Bei den beiden Zeilen include classification.config und include reference.config fügen Sie zusätzlich den absoluten Pfad an, also

include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config