Nachdem ich vor einigen Wochen im Linux-Magazin einen kurzen Artikel ueber Ourmon gelesen habe, habe ich es jetzt auch bei uns im Wohnheim aufgesetzt. Mir sind die Worte der DFN-Cert Leute immer noch im Kopf, die sagten: „Nur weil die Netzwerkmonitoring Loesungen die Sie vor 2-3 Jahren implementiert haben heute keine Gefahren mehr anzeigen, heisst es noch lange nicht, dass es auch keine mehr gibt. So wie sich Viren, Wuermer, Rootkits weiterentwickeln und neue Wege gehen, muss man auch bestaendig seinen Blick darauf anpassen.“
Der neue Blickwinkel und die neue Strategie heisst deswegen bei mir: Netflows oder vergleichbares aufzeichnen / betrachten und Honeypots aufstellen. Part eins, das mit den Netflows, ist damit initial abgedeckt. Ourmon ist installiert und liefert Daten und Graphen der Standartkonfiguration. Es folgt die naechsten Tage noch eine Anpassung (z.B. Monitoring des Port 445 zur Erkennung von Conficker bzw. anderen MS-RPC-Schnittstellenschwachstellenausnutzenden Dingern).
Part zwei sind Honeypots. Dafuer habe ich mir (nach tollen Gespraechen beim SNT) das Intrusen-Detection-System SurfIDS ausgeguckt. Es baut auf die Honeypotsoftware Nepenthes auf, und ist als low interaction Honeypot auch ganz gut geeignet fuer Wohnheimnetze. Fuer high interaction Honeypots braeuchte ich nen Kollegen der Ahnung hat ;-)
SurfIDS kommt bald, alles zu seiner Zeit. Am liebsten wuerde ich in jedem Wohnheim in Goettingen einen Sensor aufstellen, aber dafuer muss ich erstmal die Hauptinfrastruktur schaffen. Freu mich schon drauf!
hallo, kennst du vielleicht ein deutsches tutorial für ourmon? ich bin noch nich so der linux-crack und tu mich mit dem englischen ziemlich schwer. das wär echt super.
danke für deine hilfe
sagt tanja
Hi Tanja. Sorry fuer die spaete Antwort. Ich persoenlich bin ueber den Artikel des Linux Magazins „Wen wurmt es“ auf ourmon aufmerksam geworden. Ansonsten ist es wirklich sehr einfach aufzusetzen: runterladen, bei ubuntu- u debiansystemen das installscript fuer die abhaengigkeiten ausfuehren, entpacken, die entsprechenden crontabeintraege hinzufuegen und eigentlich wars das glaub ich schon… Ich glaube es muss noch der dienst (/etc/init.d/) ins entsprechende runlevel gebracht werden, aber eignetlich gehts dann nur noch auf die seite und warten auf die infos und gucken wie sie wachsen… bei groesserem interesse kann ich gerne mal eine deutsche installanleitung hier auf dem blog posten. vg jan :-)