IPCOP - Snort

[Thompson]

Hallo @ all!

Ich muss zugeben, ich bin nicht gerade der Profi in Sachen FW's. Seit dem ich IPCOP als FW laufen hab, vergeht kein Tag, an dem ich einen Eintrag in den Logs über versuchte Angriffe feststellen muss. Leider kann ich nicht abschätzen, ob es sich um einenVersuch gehandelt hat, oder ob jemand wirklich in mein Netz eingedrungen ist.
Wie erkenne ich das?

Grüsse
Thompson

[flinx]

Hast du irgendeinen Dienst am Ipcop-Rechner laufen bzw. irgendein Portforwarding gemacht?
Wenn nein, vergiss die Log-Einträge.

Lesestoff:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

[Thompson]

@flinx
Danke!
Also, ich habe keine Dienste oder ähnliches laufen.
Wenn Du sagst, ich soll die Einträge vergessen...
meinst Du, IPCOP würde konkret darauf aufmerksam machen,
wenn ein Einbruch stattgefunden hat?
Umsonst meldet sich snort doch nicht?!?!

Grüsse
thompson

[Dumdideldum]

Zitat:

Original geschrieben von Thompson
@flinx
Danke!
Also, ich habe keine Dienste oder ähnliches laufen.
Wenn Du sagst, ich soll die Einträge vergessen...
meinst Du, IPCOP würde konkret darauf aufmerksam machen,
wenn ein Einbruch stattgefunden hat?
Umsonst meldet sich snort doch nicht?!?!

Grüsse
thompson

oh doch.
Du solltest die Snort-Einträge nicht allzu ernst nehmen.
Ich z.B. hab hunderte ICMP/Ping Einträge täglich (auch die logged Snort). Desweiteren kommen immer wieder portscans bzw. irgendwelche Hacker-Pseudo-Programm-Angriffe.

Du könntest natürlich alle deines Erachtens gefährlichen "Angriffe" an abuse@isp.abc schicken - bringen wirds dir jedoch wenig.

IPCop is relativ sicher - ich würd mir nicht allzu grosse Sorgen machen.

mfg

[Thompson]

Danke!!!

thompson

[flinx]

Zitat:

Also, ich habe keine Dienste oder ähnliches laufen.

Wenn du keine Dienste laufen hast, was soll dann SNORT eigentlich machen?

Zitat:

meinst Du, IPCOP würde konkret darauf aufmerksam machen,
wenn ein Einbruch stattgefunden hat? Umsonst meldet sich snort doch nicht?!?!

Ich gehe mal davon aus, daß SNORT das macht, was du gesagt hast, das es machen soll. Und du weißt sicher, was du ihm gesagt hast, was es machen soll, oder?

[sagi]

Zitat:

Original geschrieben von flinx
Wenn du keine Dienste laufen hast, was soll dann SNORT eigentlich machen?


Ich gehe mal davon aus, daß SNORT das macht, was du gesagt hast, das es machen soll. Und du weißt sicher, was du ihm gesagt hast, was es machen soll, oder?

IIRC kommt IPCOP per default mit Snort. daher vermute ich mal, dass es das macht, was die Leute von IPCOP fuer sinnvoll erachteten.

des weiteren glaube ich nicht, dass jemand, der SNORT Regeln selbst erstellt Fragen darueber stellt, wie mit den Logs umzugehen ist.

c.

[markisonline]

Zitat:

Original geschrieben von sagi
IIRC kommt IPCOP per default mit Snort. daher vermute ich mal, dass es das macht, was die Leute von IPCOP fuer sinnvoll erachteten.

des weiteren glaube ich nicht, dass jemand, der SNORT Regeln selbst erstellt Fragen darueber stellt, wie mit den Logs umzugehen ist.

c.

*unterscheib* mit GnuPG-Schlüssel

[Thompson]

Zitat:

Original geschrieben von flinx
Wenn du keine Dienste laufen hast, was soll dann SNORT eigentlich machen?


Ich gehe mal davon aus, daß SNORT das macht, was du gesagt hast, das es machen soll. Und du weißt sicher, was du ihm gesagt hast, was es machen soll, oder?

Hab mich falsch ausgedrückt!
Ich meinte, dass ich kein Portforwarding aktiviert habe.
IPCOP ist nur Webproxy und FW.

Und das weiß ich, weil ich ihm gesagt habe, das ist alles was ich über Dich weiß das du kannst und das er machen soll! Ehhmmm?? )

Thompson