Edin Dizdarevic
System Developer - Internet & E-Security
(interActive Systems GmbH)
Netzwerk Intrusion Detection mit Snort in schnellen Netzen
Sonntag, 11:00 Uhr im Raum V2 - Sicherheit
Das Netzwerk Intrusion Detection System Snort gewinnt auch im professionellen Umfeld immer mehr Anhänger. Es gilt als schnell, einfach zu konfigurieren, gut dokumentiert und durch umfangreiche Ausgabemöglichkeiten leicht in bestehende Sicherheitskonzepte integrierbar. Der Einsatz von Snort in performanten Netzwerken erfordert jedoch sorgfältige Planung und birgt die eine oder andere Konfigurationstücke, die schnell zu Paketverlusten, False Positives bzw. False Negatives führen kann - das Todesurteil für jedes Intrusion Detection System.
Der Beitrag soll dem unbedarften Anwender die Funktionsweise der Snort Detection Engine näher erläutern und die häufigsten Fehlerquellen beim Einsatz aufzeigen. Dabei wird auf alle Phasen der Installation eingegangen: Von der Planung und Kompilierung der Quellen, über Finetuning der Regeln bis hin zur Speicherung der erzeugten Warnungen.
Wo stelle ich die Sensoren auf, wie definiere ich mein Netz, welche Präprozessoren und welche Regeln brauche ich wirklich, wie kann Snort entlastet werden, damit es mehr Pakete untersuchen kann? Über diese Fragen soll diskutiert werden. Es gilt, die Anwender davon abzuhalten, dem "Featuritis" zu verfallen. Stattdessen sollte Snort mehr nach dem Motto "Weniger ist mehr" konfiguriert werden - auch wenn das bei den gebotenen Möglichkeiten von Snort sicherlich schwer fällt. Dass das der richtige Ansatz ist, können unsere im Beitrag enthaltenen Testergebnisse bestätigen.
Webseite zum Beitrag: http://www.snort.org/
Kontakt zum Vortragenden: Für Rückfragen können Sie Edin Dizdarevic unter folgender E-Mail Adresse erreichen:
|
![[Illustration]](/2003/images/illus.gif)
