Monitoring Pt. III

Im dritten Teil wenden wir uns nun dem Intrusion Detection System zu. Natürlich existieren auf dem Markt diverse Anbieter. Eine bekannte Software ist für diesen Fall Snort. Da ich persönlich die pfSense Firewall bevorzuge, trifft sich das perfekt. Denn Snort gibt es auch für FreeBSD, auf dem pfSense aufbaut.

Und es kommt noch besser. Snort ist ebenfalls als Package verfügbar und somit in das Webinterface der  pfSense integriert.

Snort ist natürlich nicht nur für FreeBSD erhältlich sondern auch für Linux-Distributionen und Windows. Es ist auch so, dass SNORT nicht zwangsweise auf der Firewall laufen muss. Mittels Port Mirroring kann man den Netzwerk Traffic auf einen beliebigen Überwachungsserver leiten.

pfSense und Snort

Im Package Center findet man Snort und kann dies installieren. Danach findet man im Menu Service  den Eintrag für Snort. Im Menu  Interfaces wählt man das zu überwachende Netzwerk Interface:

Im Menu Global Settings setzt man die gewünschten Überwachungsregeln. Vorzugsweise meldet man sich bei SNORT an.

In den weiteren Menus findet man noch unterschiedliche Einstellungen, die man nach Bedarf anpassen kann. Die Resultate der Überwachung findet man im Menu Alerts