magelan2k: Ja ich verwende snort, da ich mit einem IDS besser bescheid weis was auf meinem Server loss ist.
Hallo, hab jetzt Snort soweit installiert und zum laufen gebracht. War zwar ein getüftelle aber es geht. Habe dazu die Bleeding Edge Rules verwendet.
Dies ist jedoch eine Anleitung ohne Datenbank Anbindung. Die Anleitung mit Datenbank Anbindung werde ich als nächstes schreiben.
Hier eine kleine Anleitung für SuSE 9.3 Leute :::::Achtung dieses Howto ist noch Beta::::::
Da snort aus irgendwelchen Gründen abstürzt ich vermute das snort nicht mit venet0 zurechtkommt.
::::::::::::::::::::::::::::::::::::
SNORT INSTALLIEREN:
::::::::::::::::::::::::::::::::::::
apt-get install snort
# Jetzt sollte Snort installiert werden und die zusätzlichen Packages von apt heruntergeladen werden.
cd /etc/sysconfig/
vi snort
# Dieses Bereich heraussuchen und so abändern
SNORT_INTERFACE="venet0"
:::::::::::::::::::::::::::::::::::::
RULES EINFÜGEN
:::::::::::::::::::::::::::::::::::::
# Das hier herunterladen , den das ist eine angepasste Snort.conf für medium Traffic.
http://www.bleedingsnort.com/snort.conf/snort.conf-medium.txt
# Rules herunterladen
http://www.bleedingsnort.com/bleeding.rules.tar.gz
http://www.snort.org/pub-bin/downloads.cgi/Download/comm_rules/Community-Rules-2.3.tar.gz
# Diese Rules kommen alle in den Ordner
/etc/snort/rules
# also in der shell entpacken und kopieren oder mit midnight commander machen.
#so nun nur noch die snort.conf.txt umbennen in
snort.conf und nach
/etc/snort kopieren.
var HOME_NET $venet0_ADRESS oder
var HOME_NET eure IP
#Die Virtuelle Netzwerkkarte angeben in der Snort.conf
::::::::::::::::::::::::::::::::::::::
SNORT Befehle
::::::::::::::::::::::::::::::::::::::
/etc/init.d/snort start
# startet snort
/etc/init.d/snort restart
# restartet snort
/etc/init.d/snort stop
# stopt snort
snort -c /etc/snort/snort.conf -T
#Dies startet snort in selftestmode (Testet hier die configuration)
snort -c /etc/snort/snort.conf -v -i any
#Wenn ihr Probleme habt bei eurem Setup, dann zeigt es euch "-v".
snort -c /etc/snort/snort.conf -i venet0
#Dieser Befehl ist dazu da um Snort in echtzeit laufen zu lassen, hier horcht snort auch die adresse venet0
snort -c /etc/snort/snort.conf -D
#Dieser Befehl startet snort in Daemon mode (startet in im hintergrund).
snort
#Dieser Befehl zeigt eine Statistik an wenn Snort im Hintergrund läuft, falls snort nicht läuft zeigt es Befehle auf.
Für Verbesserungen dieses kleinen Howtos bin ich jederzeit aufgeschlossen.
Aber ich werde selbst schauen und meine Erfahrungen hier Berichten und bestimme Dinge falls sie veraltet sind oder Fehler beinhalten verbessern.
Gruss
Darkantares