SNORT vs CPU

1. offizieller Beitrag

    Hallo Zusammen

    SNORT bringt ja so einiges an Regeln mit.
    Wie bekomme ich die welche ich nicht brauche den weg?

    Man kann diese deaktiveren aber beim löschen werden diese wieder eingespielt.

    SNORT braucht je mehr Regeln mehr CPU
    Also wenn man nur die Hälfte der Angriffsfläche bieten kann man sich CPU Kraft sparen was Netzwerkdurchsatz steigert.

    Wer keinen Webserver betreibt braucht die Rules nicht
    Gleiches für SIP, VOIP und andere. Das mindert SNORT gleich mal um ein paar tausend Regeln welche man nicht scannen muss.

    Wie seht Ihr das?
    Danke

    • Offizieller Beitrag

    Hallo.
    Über Sinn oder Unsinn von Snort kann man lange Diskutieren.
    Ich habe alle Regeln aktiviert leider habe ich bis jetzt im Protokoll noch kein einzigen Eintrag gesehen !
    Ob Snort überhaupt Funktioniert ?
    Die CPU- Auslastung ist in der 2.4 nicht allzu hoch, deshalb frage ich mich ob das überhaupt läuft !

    Zitat

    SNORT bringt ja so einiges an Regeln mit.
    Wie bekomme ich die welche ich nicht brauche den weg ?

    Du musst sie nur nicht an harken, dann laufen sie auch nicht.

    Gruß Sabine

    Bilder

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Ich war gerade auf der Suche nach Snort und CPU last, bin dann hier drauf gestoßen.
    Warum das momentan so eine Last bei mir verursacht hab ich noch nicht raus, aber ich kann eventuell einige Fragen beantworten.

    Vorab:
    Snort ist mächtig und hilfreich wenn man einige Mail, Web, FTP etc. Dienste auf Servern dahinter am laufen hat.
    Snort sollte daher auf jedenfall laufen um sich vor div. Exploits zu schützen.

    Zitat

    Ich habe alle Regeln aktiviert leider habe ich bis jetzt im Protokoll noch kein einzigen Eintrag gesehen !
    Ob Snort überhaupt Funktioniert ?

    Ja das tut Snort und zwar richtig gut!
    Snort kann man entweder als IDS oder als IPS verwenden (nicht beides zusammen für eine Regel)

    - IDS (Erkennung und Protokollierung, Alert) "Symbol Warnschild mit Ausrufezeichen" Nimmt aber keine Maßnahmen vor!
    D.h. Snort erkennt nur, tut aber nichts! In der Log (Livelog) sind die versuchten Angriffe zu sehen gegen die man vorgehen kann.

    - IPS (Erkennen und blocken) "Keine Protokollierung!" Daher wird in den logs und im Livelog auch nichts angezeigt.
    Snort Blockiert aktiv die Angriffe (rotes Schild) ist in den Livelogs nichts zu sehen macht Snort seine Arbeit gut :D

    Hin und wieder stelle ich Snort auf Protokollierung um, werte das aus und schnappe mir die "bösen" IP- Ranges (meist Asiaten) und packe diese in die Firewall Rules zum blocken.
    Das hilft oft die Last von den Maschinen zu nehmen da keine Daten mehr fließen und Snort dann auch nicht viel zu tun hat.
    Allerdings können diese IPs nicht mehr auf die dahinter liegenden Web oder FTP Dienste zugreifen.
    Bis jetzt hat sich jedoch noch kein Kunde beschwert dass sein Asiatischer Freund nicht auf die Website kommt oder keine Mails an die Server verschicken kann.

    Zitat

    arminf Wer keinen Webserver betreibt braucht die Rules nicht
    Gleiches für SIP, VOIP und andere. Das mindert SNORT gleich mal um ein paar tausend Regeln welche man nicht scannen muss.

    das ist richtig! Kein Websever etc. hat, dann braucht man diese Rules auch nicht aktivieren. Andere Rules sind aber dennoch zu starten.
    Hilft auch gegen Würmer und andere Schädlinge in dahinter liegenden Windows Systemen.

    Hier etwas über den aktuellen Entwickler zum lesen http://www.sourcefire.com

    Viel Spaß!
    LG Andreas