Netzwerk-Überwachung mit Snort

Regeln bearbeiten

Nun können Sie den „Policy Editor“ öffnen, um die Regeln der Policy zu bearbeiten. Zunächst werden Sie gefragt, ob Sie die neuesten Regeln herunterladen wollen. Dies funktioniert allerdings nur, wenn Sie sich wie zuvor beschrieben einen Oinkmaster-Code geholt und ihn eingetragen haben.

Im nächsten Schritt sollten Sie die für Ihre Umgebung nicht passenden Regeln deaktivieren. So macht es beispielsweise wenig Sinn, Angriffe auf Oracle-Datenbanken zu entdecken, wenn im LAN keine entsprechende Datenbank vorhanden ist.

Wenn die Policy Ihrem Netzwerk entsprechend angepasst ist, muss sie nur noch auf die verschiedenen Sensoren verteilt werden. Dazu dient der Reiter „Sensor Manager“. Hier erstellen Sie einen Sensor und teilen dem Programm mit, wie es die Regeln auf diesen Sensor kopiert.

Dazu stehen die Methoden ftp, scp, vcp und lokales Kopieren der Datei zur Verfügung. Werden die Regeln auf einen entfernten Server kopiert, bietet das Programm zusätzlich die Möglichkeit, auf dem Server ein Script auszuführen, das Snort neu startet. Zudem legen Sie für den Sensor fest, welche Policy für ihn gelten soll.