Installatie Openaanval/Snort op Mac OS X

Voor de echte paranoia-unixgeek-mac'eraar heb ik een installatie-howto in elkaar gezet, betreffende de installatie van een NIDS (network intruder detection system). Dit soort systemen kunnen gebruikt worden om in te gaten te houden wat er allemaal voor (on)gein op je netwerk aan gang is.

http://www.ufb.rug.nl/ger/pdf/aanval.pdf

Doe er uw voordeel mee,

vr.gr. Ger

screenshots:

http://www.ufb.rug.nl/ger/jpg/aanval_top25.jpg
http://www.ufb.rug.nl/ger/jpg/aanval_eventbrowser.jpg

Heel erg mooi, wat sumiere pdf voor "de beginner" maar erg netjes opgezet.

Snort heeft alleen wel de nare eigenschap om redelijk wat cpu/load te gaan eten op een druk netwerk. Zeker als je de info opslaat in een mysql database ipv de normale ‘flatfiles’.

Ook is de trend die meer en meer gezet word het direct dichtzetten van een poort op bv een switch waar een “promiscious mode” word gededecteerd. (zeker in server omgevingen) kijk hier dus mee uit mocht je het op je colo’ed xserve willen installeren.

Zeker niet verkeerd om “awareness” te kweken qua netwerkverkeer.

Compliments

Dank je wel. Ziet er goed en simpel uit.

Gegroet,
Martijn van Westerlaak

[quote:d0c469678f="sigterm"]

Snort heeft alleen wel de nare eigenschap om redelijk wat cpu/load te gaan eten op een druk netwerk. Zeker als je de info opslaat in een mysql database ipv de normale ‘flatfiles’.

Compliments[/quote:d0c469678f]

Hier is deze setup i.d.d. in gebruik als testomgeving. Voor het serieuse werk zou ik kiezen voor een decicated machine (no offense: maar het liefst op OpenBSD ipv Mac OS)

vr.gr. ger

[quote:bd7672d886="-=Ger=-"][quote:bd7672d886="sigterm"]

Snort heeft alleen wel de nare eigenschap om redelijk wat cpu/load te gaan eten op een druk netwerk. Zeker als je de info opslaat in een mysql database ipv de normale ‘flatfiles’.

Compliments[/quote:bd7672d886]

Hier is deze setup i.d.d. in gebruik als testomgeving. Voor het serieuse werk zou ik kiezen voor een decicated machine (no offense: maar het liefst op OpenBSD ipv Mac OS)

vr.gr. ger[/quote:bd7672d886]

Elke dedicated *nix/*bsd machine zal voldoen in een groter netwerk :slight_smile:

∴ NA-NIL-IN ∴

∴ NA-NIL-IN ∴

∴ NA-NIL-IN ∴

[quote="johnny_cash"]nog een kleine aanpassing.. ik heb zo het gevoel dat je de root user enabled moet hebben..

Hierop zal ik mijn documentatie aanpassen. root moet je i.d.d. hebben, en als je dat niet hebt, apart enablen (Mac OS X specifiek, dus dat mag wel even apart vermeld worden). Dat snort-config stukje moet je me even uitleggen, waarom jou versie makkelijker is. Dat is mij niet helemaal duidelijk. Er zijn vaak meerdere wegen naar Rome…

dat er overal /home/ger/ staat ipv /home<usernaam> wordt in het begin wel uitgelegd. 1 en ander is gewoon afkomstig uit mijn eigen documentatie, dat ga ik dus niet aanpassen.

Niet denken, doen..... < ipv | 's werken beter.

En er zijn 200 manieren onder een unix om een en het hetzelfde te bereiken… dus het word nog ingewikkelder nu voor de “no terminal” gebruiker.