[sage-ka] Snort-Spezialist gesucht

Patrick M. Hausen hausen at punkt.de
Di Mär 31 09:59:35 CEST 2009


Hallo,

wir suchen einen externen Snort-Spezialisten für einen
eintägigen Workshop.

Wintergrund: wir möchten gerne ein IDS vor unser RZ
hängen und haben das auch schon getan. Die Installation
des Produkts, Update der Regeln per Oinkmaster etc. war
weitgehend streßfrei.

Nun loggt das also fröhlich vor sich hin ... und nun?

Ich habe mehrere angebliche Web-Frontends für Snort
ausprobiert, bei keinem bin ich so weit gekommen,
daß ich irgendwo per Klick Trigger und Aktionen einstellen
kann, also z.B. "Wurm XY Traffic in Richtung BSD-Hosts
ignorieren, es sei denn, es kommen mehr als N Connections
von einer IP-Adresse, dann eine Mail an Abuse schicken" oder
"Wurm XY Traffic ausgehend von unserer Infrastruktur,
dann sofort Alarm per SMS"

Oder was auch immer - die Einstiegshürde schien mir echt
heftig. Sendmail war einfacher ;-)

Wie kriege ich das hin, daß das Tool auch was sinnvolles
rauswirft? Für zu definierende Werte von sinnvoll.

Dafür hätten wir gerne jemanden eingekauft, wie gesagt.
Erst mal einen Tag in lockerer Atmosphäre, wobei uns
der Mensch dann hoffentlich zeigt, welche Möglichkeiten
es gibt, welche Frontends sich bewährt haben, und wir
am Ende in der Lage sind, selbst weiter zu machen.

Räumlichkeiten und Infrastruktur stellen wir, 2-3 Teilnehmer.

Gruß, danke,

Patrick M. Hausen
Leiter Netzwerke und Sicherheit
-- 
punkt.de GmbH * Kaiserallee 13a * 76133 Karlsruhe
Tel. 0721 9109 0 * Fax 0721 9109 100
info at punkt.de       http://www.punkt.de
Gf: Jürgen Egeling      AG Mannheim 108285