Ein Intrusion Detection System (ids) Durchsucht den gesamten Netzwerkverkehr (die verschickten Pakete) nach bestimmten Mustern, und versucht dadurch Angriffe zu erkennen. Informationen über diese Untersuchungen kann man unter Core → Maintenance → Logs einsehen.
Es gibt einige vorkonfigurierte Regeln. Weitere Regeln kann man entweder selbst erstellen, beim Entwickler erwerben oder man erhält sie durch Erwerb einer kommerziellen Zentyal Version.
Das Untersuchen des Netzwerkverkehrs ist sehr aufwendig. Deswegen betreibt man das ids meistens nicht auf dem Hauptserver, meistens sogar auf einem extra Server, der nur für ids zuständig ist. Ein weiterer Grund dafür ist, dass meistens der Hauptserver Ziel von Angriffen ist. Ist dieser außer Kraft gesetzt, z. B. durch Denial of Service (DoS)-Attacken, funktioniert auch das ids nicht mehr.
Auf dem Reiter „Schnittstellen“ wählte man die Schnittstelle(n) aus, an denen der Netzwerkverkehr untersucht werden soll.1)
Auf dem Reiter „Regeln“ werden alle Regeln angezeigt, die auf dem System installiert sind. Ein typischer Satz an Regeln ist bereits aktiviert.
Wie schon erwähnt, ist das Untersuchen des Netzwerkverkehrs sehr zeitintensiv. Deswegen sollte man nur die Regeln aktivieren, die man auch tatsächlich benötigt. Betreibt man z. B. kein FTP-Server, sollte man auch die zugehörige Regel nicht aktivieren.
/etc/snort/snort.conf
(Snort-Konfiguration, Regeln werden hinzugefügt)/etc/snort/snort.debian.conf
(Konfigurationsdatei der Schnittstellen)
Diskussion