Intrusion-Detection und -Prevention mit Snort
Workshop: Snort konfigurieren und IDS-Regeln erstellen
Der erste Teil der Mini-Serie hat eine grundlegende Einführung in das Thema Intrusion-Detection-Systeme (IDS) gegeben und gezeigt, was sie können – und was nicht. Dort wurden für das wohl bekannteste Open Source IDS Snort die ersten Schritte wie Installation und erste Konfiguration vorgestellt. In diesem Artikel nun geht es um die erweiterte Konfiguration, mit der man Snort effektiv an die jeweiligen Bedürfnisse anpasst.
Snort kann nur mit einer individuellen Konfiguration seine volle Wirkung entfalten. Die hier beschriebenen Installationshinweise und die Konfigurationen stellen somit eher generelle Empfehlungen dar.
Nachdem eine erste Installation durchgeführt wurde, sollte man eine sogenannte reconfiguration durchführen und dabei die wichtigen Einstellungen im Terminal anpassen. Folgende Bilder zeigen die dafür notwendigen Schritte:
- 1. Schritt
Festlegen, wie Snort starten soll. - 2. Schritt
An welcher Netzwerkschnittstelle soll Snort arbeiten. Meistens handelt es sich hier um eth0. - 3. Schritt
Netzwerk von Snort einstellen, in dem Snort arbeiten soll. Hier sind mehrere Einträge möglich und durch Komma zu trennen. - 4. Schritt
Ein- oder ausschalten, ob Snort im Promiscuous Modus arbeiten soll. Mehr dazu im ersten Teil dieser Workshop-Serie. - 5. Schritt
Festlegen der Reihenfolge der Aktionen, die Snort ausführen soll. - 6. Schritt
E-Mail Benachrichtigung einstellen. Snort kann eine Zusammenfassung an einen System-User senden. - 7. Schritt
E-Mail-Adresse angeben.