Nieuws
image

Hoe Linux, Snort en Nessus het IT fort beveiligen

donderdag 14 oktober 2004, 09:15 door Redactie, 17 reacties

Voor het beveiligen van het (bedrijfs)netwerk kunnen bedrijven en particulieren uit allerlei programma's en pakketten kiezen. Een keuze die voor netwerk architect Todd Sanders eenvoudig is. Hij kiest namelijk altijd voor open source programma's zoals Linux, Snort en Nessus. Naast het feit ze gratis of goedkoper zijn, werken deze tools vaker beter dan proprietary alternatieven. In dit artikel gaat Sanders verder in op het gebruik van Snort en Nessus en geeft hij tips aan IT aanbieders die open source tools willen gebruiken voor het bouwen van netwerk security systemen en het beveiligen van hun netwerken.

Reacties (17)
14-10-2004, 10:02 door Walter
Snort is mooi man :).
Iedere dag keurig een mailtje met alles wat er aan de hand
is geweest. Het is alleen nogal veel doorworstelen (1400
regels aan zooi), maar altijd nog minder dan alles handmatig
doorspitten.

Nessus is ook een handige tool, al is het alleen al omdat er
niet alleen poorten worden gescanned, maar bijvoorbeeld ook
de versies van bepaalde software en meteen verwijst naar
eventuele lekken in die versies.
Goed bezig zou ik zeggen :).
14-10-2004, 11:50 door DannyVader
Snort is waardeloos voor de gewone gebruiker en voor vele admins.

Hier :

Date: 10/14 03:29:57 Name: MS-SQL Worm propagation
attempt
Priority: 2 Type: Misc Attack

Ja, wat doe je met dit soort informatie? Hoe relevant is die info? Zou het
echt niet weten......
14-10-2004, 12:02 door Walter
Door FluffyB
Snort is waardeloos voor de gewone gebruiker en voor vele admins.
Vind je?? Ik vind de informatie die snort geeft toch wel erg duidelijk. Ik ben
geen admin (behalve van mijn eigen machine) maar snap toch echt wel
95% van wat er in de meldingen staat.
Hier :

Date:10/14 03:29:57 Name:MS-SQL Worm propagation
attempt
Priority:2 Type:Misc Attack
Nou duidelijk, er is een lek in MS-SQL. Hier is een worm voor geschreven,
en iemand probeert je systeem met deze worm te besmetten. Er wordt ook
een prioriteit aan gegeven, hoe heftig snort deze 'aanval' vindt.
Ja, wat doe je met dit soort informatie? Hoe relevant is die info?
Zou het echt niet weten......
Behoorlijk relevant. je kunt zien welk IP adres dit heeft gedaan, en daarmee
kun je de provider of admin van dat IP adres op de hoogte stellen.
Daarnaast kun je kijken wat voor aanvallen er worden gedaan en je firewall
daarop aanpassen. Snort is juist ideaal om te kunnen zien wat voor soort
aanvallen actief zijn, het meest gebruikt worden en wat voor wormen
rondzwerven.
Als je je firewall hierop aanpast is je netwerk weer een stuk veiliger.
14-10-2004, 12:09 door Anoniem
Ik vindt snort ook geen reet aan. Je kunt de tijd die je in snort steekt veel
beter steken in het verbeteren van je firewall.

Nessus rocks.
14-10-2004, 13:02 door Anoniem
Door Anoniem
Ik vindt snort ook geen reet aan. Je kunt de tijd die je in
snort steekt veel
beter steken in het verbeteren van je firewall. Nessus
rocks.
Een firewall die alleen maar op poortjes controleert, is
vandaag de dag niet genoeg meer voor goede bescherming. Je
hebt ook content-filtering nodig. Snort kan dat. En Snort
kan ip-adressen afsluiten wanneer daar bepaalde
hack-patronen vandaan komen. Dus je kan geen reet aan Snort
vinden, het soort functionaliteit dat Snort biedt heb je
tegenwoordig gewoon nodig.
14-10-2004, 13:03 door Anoniem
Er is een verschil tussen een firewall en snort (IDS).

Je firewall word geacht aanvallen buiten te houden maar doet niets met het
verkeer dat binnen in je netwerk gebeurd zolang het niet naar buiten gaat.
Met snort kun je je netwerk laten afscannen / bewaken op mogelijke
aanvallen die ook van binnenuit kunnen gebeuren.

Snort kan wel degelijk een + punt voor je netwerk zijn. Zoals eerder al werd
gemeld geeft het aan wanneer er iets gebeurd (mist je hem fout
configureerd) dan krijg je teveel false negatief's. Hierdoor kun je zien
wanneer bijvoorbeeld een client of server is besmet en misbruikt word voor
het verzenden van de virus etc.

Snort is 1 van de tools die in de toekomst meer zou worden gebruikt in
bedrijven als IDS. Het is tenslotte gratis. In tegen stelling tot veel IDS
systemen.
14-10-2004, 13:23 door Walter
Door Anoniem
Ik vindt snort ook geen reet aan. Je kunt de tijd die je in
snort steekt veel
beter steken in het verbeteren van je firewall.

Nessus rocks.
Met behulp van zowel nessus als snort kun je je firewall
makkelijker verbeteren. Hoe wil jij je firewall verbeteren
als je niet makkelijk kunt inzien wat je moet verbeteren.
Snort geeft inzicht in wat voor soort aanvallen naar je PC
worden gestuurd, waardoor jij makkelijker je firewall kunt
aanpassen (dankzij het inzicht).

Natuurlijk kun je al je firewall, webserver, mailserver,
$Random_server logs doorspitten, maar waarom dat doen als
snort dat voor je kan doen?

Overigens is een derde tool ook wel makkelijk voor het
versterken van je firewall: portsentry. Een mooie
aanvulling op je firewall. Meer dan X poorten binnen een
bepaalde tijd vanuit 1 IP en portsentry smijt alles van dat
IP keurig in de bittenbak, uitermate effectief.
14-10-2004, 13:37 door Anoniem
Door FluffyB
Ja, wat doe je met dit soort informatie? Hoe relevant is die info? Zou het
echt niet weten......


..dus is het waardeloos......tsjongejonge
14-10-2004, 15:14 door Poele
alleen maar SNORT, heren? Denken we ook na over alternatieven?
14-10-2004, 15:18 door Anoniem
Door Walter
Overigens is een derde tool ook wel makkelijk voor het
versterken van je firewall: portsentry. Een mooie
aanvulling op je firewall. Meer dan X poorten binnen een
bepaalde tijd vanuit 1 IP en portsentry smijt alles van dat
IP keurig in de bittenbak, uitermate effectief.

Ja, leuk tooltje voor IP spoofers.
14-10-2004, 15:19 door Anoniem
Door Poele
alleen maar SNORT, heren? Denken we ook na over alternatieven?

Vind ik ook, om mee te beginnen:

http://www.insecure.org/tools.html
14-10-2004, 16:18 door Poele
SNORT is LIGHTWEIGHT volgens bovenstaande link. Laten we het eens
hebben over het ECHTE werk dan. Wie roept?

Snort is a lightweight network intrusion detection system, capable of
performing real-time traffic analysis and packet logging on IP networks. It
can perform protocol analysis, content searching/matching and can be
used to detect a variety of attacks and probes, such as buffer overflows,
stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts,
and much more. Snort uses a flexible rule based language to describe
traffic that it should collect or pass, and a modular detection engine. Many
people also suggested that the Analysis Console for Intrusion Databases
(ACID) be used with Snort.
14-10-2004, 16:24 door Anoniem
Door Poele
alleen maar SNORT, heren? Denken we ook na over
alternatieven?
Klinkt als mn vroegere lerares.........
14-10-2004, 17:01 door DNA
Is dit programma dan ook noodzakelijk voor de thuisgebruiker?
(voor mij dus)

Net op snort.org gekeken. Maar voor een beginnende linux
gebruiker
een beetje abracadabra.

Groeten Patrick.
14-10-2004, 17:06 door Anoniem
Door Anoniem
Door FluffyB
Ja, wat doe je met dit soort informatie? Hoe relevant is
die info? Zou het echt niet weten......
..dus is het waardeloos......tsjongejonge
Afzeiken is altijd makkelijk. Voeg wat interessante info toe
zou ik zeggen. Iets waar wèl de mensen wat aan hebben.
Misschien heb je wel relevante tips en ervaringen die je
graag deelt.
14-10-2004, 21:48 door Mr Wizard
Iedere tool kan zijn meerwaarde hebben, het is echter wat de mens er
achter er mee doet.

De mens is nog steeds de zwakste schakel.
14-10-2004, 22:36 door Anoniem
Door Mr Wizard
Iedere tool kan zijn meerwaarde hebben, het is echter wat de
mens er
achter er mee doet. De mens is nog steeds de zwakste
schakel.
Kijk, zo herkent men ware wijsheid: kracht door eenvoud!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search