Ik twijfel of ik als NIDS snort zal gaan inzetten. Wie gebruikt een NIDS? Wat zijn je ervaringen? Kan snort op tegen professionele NIDS-en zoals Cisco-IDS? Kent iemand een site anders dan snort.org waarmee ik snel wegwijs krijg om snort te configgen met al die lastige rules?

[quote:0d8aca675f="MrLeeJohn"]Ik twijfel of ik als NIDS snort zal gaan inzetten. Wie gebruikt een NIDS? Wat zijn je ervaringen? Kan snort op tegen professionele NIDS-en zoals Cisco-IDS? Kent iemand een site anders dan snort.org waarmee ik snel wegwijs krijg om snort te configgen met al die lastige rules?[/quote:0d8aca675f]

En wat mag dat dan wel wezen ??

We zij niet allemaal sysbeheer hoor MrLeeHohn :-?

ik kan het wel installeren, maar niet testen

md5sum -c <een of andere url> werkt altijd

snort schijnt wel goed te zijn, maar ik weet er te weinig van

Snort is een NIDS; network intrusion detection system. Het werkt een beetje als een sniffer, maar detecteert bepaalde dingen op het netwerk. Zoals een portscan of een dos-attack. Als packets aan bepaalde voorwaarden (rules) voldoen worden ze gelogd of laten een alert afgaan. Zie www.snort.org

Ik heb het kort getest…. leek wel ok…. en nu wilde ik graag weten of er mensen zijn die dat ook gebruiken ipv een professionele NIDS.

Ik denk dat Snort een hele goeie IDS is..PortSentry is wat simpeler maar met Snort kan je erg veel doen..heb het een tijdje gedraait en de logfiles bekeken en kmoet zeggen dat de logfiles erg duidelijk zijn.
Ik kan het je zeker aanraden ..alleen wat ik raar vond is als ik een portscan via scan.sygate.com deed, dat toch alle poorten werden na gegaan en ik niks in mijn snort.log of alert.log kon vinden :cry:

M.

Ik zou ook naar portsentry kijken omdat het ook scans detecteert, ze vervolgens kan loggen, routes kan veranderen zondat een host/netwerk ontoegankelijk wordt voor de scannende host, iptables kan gebruiken om hosts te blokkeren of hosts kan toevoegen aan hosts.deny, zodat ze geen toegang krijken tot services die via tcp wrappers werken. Er is zover mij is opgevallen meer docu voor portsentry, btw. KayJay had er ook nog een goed artikel over geschreven.

Ik wil snort gebruiken omdat het ook voor andere (ook niet-Linux) pc's en servers intrusions kan detecteren (in sniffing mode).