05.05.2008 | Autor / Redakteur: Marko Rogge / Stephan Augsten
Eine weitere nützliche Hilfe für mehr Sicherheit und die Auswertung von Logfiles bietet „logwatch“, ein Programm das es einem erlaubt alle Logfiles zu sammeln um diese dann bequem via E-Mail zugestellt zu bekommen. Dazu sollte man regelmässig sein lokales Mailpostfach einsehen oder das lokale Postfach mit einem Client abrufen, wie bereits im ersten Teil beschrieben wurde.
Snort ist ein Intrusion Detection System, welches anhand von Regeln (Rules) Anomalien im Datenaustausch mit Server/Client und dem Internet erkennt und diese auswerten kann. Somit ist Snort ein sehr hilfreiches Werkzeug für Administratoren um Angriffe frühzeitig zu erkennen. Unter /var/log/snort/Alert werden die Alarmmeldungen ausgegeben, die wiederum von logwatch abgeholt werden können.
Als Intrusion Detection System arbeitet Snort nach dem Verfahren der Datenanalyse, Datenauswertung und der anschliessenden Datendarstellung. Grundsätzlich ist es empfehlenswert, eine aktuelle Version von Snort installiert zu haben. Ebenso sollten die Regeln in der Datenbank auf dem aktuellen Stand sein.
Hierzu überprüft man die snort Konfigurationsdatei in /etc/snort/snort.conf und passt diese entsprechend dem System und Netzwerk an. Entsprechende Regeln werden aus /etc/snort/rules/ geladen und können durch die Konfigurationsdatei auskommentiert oder aktiviert werden. Hierbei kommt es auf die Netzwerke an, in denen Snort zum Einsatz kommen soll, sowie auf aktuelle Bedrohungen.
In einem weiteren Artikel auf SearchSecurity.de erfahren Sie demnächst Details über Intrusion Detection Systeme, deren Unterschiede und welchen Nutzen sie für Netzwerke und zur Abwehr haben.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012507)
