HowTo Snort.

Har nå satt opp en Fedora bridging firewall med iptraf og ethereal. Den har ingen ip slik at den kan settes inn i et nettverk uten å synes. Likedan så er det mulig å monitore trafikken via begge nettverkskort ved hjelp av iptraf og ethereal. Så lenge som det dreier seg om et labopsett der jeg selv lager hele trafikken så vil jeg også kunne følge med hele trafikkmønstret.

Dersom det hadde vært 100 brukere på nettet så ville det nok være nokså umulig å følge med, selv om man hadde det som heldagsjobb.

Da finnes det ellers et program som kan gjøre en automatisk analyse av alle de data som "fyger" forbi.

Jeg har aldri forsøkt dette programmet, men jeg forstår det slik at det gjennomfører en fortløpende analyse av alle data som passerer opp mot en database med kjente "uønskede patterns" alt fra virus, ormer og portscan.

I stedet for å raportere i prinsippet all trafikk slik som iptraf og ethereal så kan dette programmet, dvs snort, etter hva jeg forstår settes opp til å rapportere bare den uønskede trafikken.

Snort sin hjemmeside inneholder en hel del interessant dokumentasjon:
http://www.snort.org/docs/

Dette ser jo både interessant og spennede ut, så jeg vurderer om jeg skal sette opp en slik Snort installasjon for å få testet det ut. Forstår det slik at dette vil være forholdsvis omfattedne og komplissert prosjekt (??)

Spørsmål:

Er det noen av deltakerne på eksperten som enten har testet ut Snort eller sett den i arbeide, eller som har andre opplysninger som kan være av interesse ??