Product SiteDocumentation Site

14.3.4. Eindringen entdecken (IDS/NIDS)

snort (im gleichnamigen Debian-Paket) ist ein NIDS - ein Network Intrusion Detection System. Seine Funktion besteht darin, das Netzwerk abzuhören und zu versuchen, Eindringversuche oder feindliche Handlungen (einschließlich eines Denial-of-Service-Angriffs) zu entdecken. Alle diese Vorgänge werden protokolliert und eine tägliche E-Mail mit einer Zusammenfassung der vergangenen 24 Stunden an den Administrator geschickt.
Zu seiner Konfigurierung muss der Adressbereich, den das lokale Netzwerk abdeckt, bezeichnet werden. In der Praxis ist dies der Satz aller möglichen Angriffsziele. Andere wichtige Parameter können mit dpkg-reconfigure snort eingestellt werden, einschließlich der zu überwachenden Netzwerk-Schnittstelle. Dies wird häufig eth0 für eine Ethernet-Verbindung sein, aber es gibt auch andere Möglichkeiten, wie ppp0 für ein ADSL, ein PSTN (Public Switched Telephone Network) oder das gute alte Einwahlmodem, oder auch wlan0 für kabellose Netzwerkkarten.
Die Konfigurationsdatei von snort (/etc/snort/snort.conf) ist sehr lang, und die ausgiebigen Kommentare beschreiben jede Anweisung in allen Einzelheiten. Um aus ihr möglichst viel herauszuholen, ist es erforderlich, sie vollständig durchzulesen und sie dann an die lokale Situation anzupassen. Zum Beispiel kann die Angabe darüber, welcher Rechner welchen Dienst beherbergt, die Anzahl der Vorfälle, die snort meldet, einschränken, da ein Denial-of-Service-Angriff auf einen Arbeitsplatzrechner deutlich weniger kritisch ist als auf einen DNS-Server. Eine andere interessante Anweisung ermöglicht es, die Zuordnungen zwische IP-Adressen und MAC-Adressen (diese identifizieren eine Netzwerkkarte eindeutig) zu speichern, um so ARP-spoofing-Angriffe zu entdecken, bei denen ein kompromittierter Rechner versucht, sich als ein anderer, wie zum Beispiel einen empfindlichen Server, auszugeben.