Nachdem ich vor einigen Wochen im Linux-Magazin einen kurzen Artikel ueber Ourmon gelesen habe, habe ich es jetzt auch bei uns im Wohnheim aufgesetzt. Mir sind die Worte der DFN-Cert Leute immer noch im Kopf, die sagten: „Nur weil die Netzwerkmonitoring Loesungen die Sie vor 2-3 Jahren implementiert haben heute keine Gefahren mehr anzeigen, heisst es noch lange nicht, dass es auch keine mehr gibt. So wie sich Viren, Wuermer, Rootkits weiterentwickeln und neue Wege gehen, muss man auch bestaendig seinen Blick darauf anpassen.“
Der neue Blickwinkel und die neue Strategie heisst deswegen bei mir: Netflows oder vergleichbares aufzeichnen / betrachten und Honeypots aufstellen. Part eins, das mit den Netflows, ist damit initial abgedeckt. Ourmon ist installiert und liefert Daten und Graphen der Standartkonfiguration. Es folgt die naechsten Tage noch eine Anpassung (z.B. Monitoring des Port 445 zur Erkennung von Conficker bzw. anderen MS-RPC-Schnittstellenschwachstellenausnutzenden Dingern).
Part zwei sind Honeypots. Dafuer habe ich mir (nach tollen Gespraechen beim SNT) das Intrusen-Detection-System SurfIDS ausgeguckt. Es baut auf die Honeypotsoftware Nepenthes auf, und ist als low interaction Honeypot auch ganz gut geeignet fuer Wohnheimnetze. Fuer high interaction Honeypots braeuchte ich nen Kollegen der Ahnung hat ;-)
SurfIDS kommt bald, alles zu seiner Zeit. Am liebsten wuerde ich in jedem Wohnheim in Goettingen einen Sensor aufstellen, aber dafuer muss ich erstmal die Hauptinfrastruktur schaffen. Freu mich schon drauf!