Server für Snort

M

Mario_Super

Neuling
Thread Starter
Mitglied seit
04.01.2020
Beiträge
4
Hallo! Ich habe mir in den Kopf gesetzt mir zuhause ein Network Intrusion Detection System (NDS) aufzusetzen und zwar Snort. Dafür brauche ich einen Server, der möglichst sparsam, leise und dem Zweck gewachsen ist. Nur habe ich leider auch keine Ahnung, welche Hardwarevoraussetzungen man für Snort ansetzen sollte. Es geht nur um mein kleines Heimnetz, aber da Snort den gesamten Datenverkehr untersuchen soll, muss die CPU das auch gebacken bekommen. Ferner stellt sich für mich die Frage, ob ich da ein RAID brauche oder ob eine SSD da völlig ausreichend ist. Ach ja: Da der Netzwerkverkehr dadurch geschleift wird, muss eine zweite Netzwerkkarte installierbar sein, aber das sollte ja in den meisten Fällen möglich sein. Und das Wichtigste: Das ist nur ein Hobby, da ist kein ernsthafter Zweck dahinter, daher soll es möglichst preiswert werden. Machen gebrauchte Server von Ebay da Sinn? Sind zwar günstig, aber möglicherweise nicht so sparsam wie die neueren Skylake-CPUs?

Wie ihr seht, bin ich da nun relativ ratlos. Kann mir irgendwer vielleicht aus Fachkenntnis oder Erfahrung sagen, welche Lösung da für mich die Richtige ist? Vermutlich werden die Allermeisten nur ein NAS oder eine Homecloud aufsetzen, aber vielleicht kennt sich ja jemand mit Snort aus.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Moin,
Schon nen Server im Betrieb? Falls ja und sogar mit esxi, VM erstellen mit PFSense bspw. und Snort einrichten.

Falls nicht, welchen Durchsatz brauchst du, VPN in Planung?
 
Moin,
nein, ich habe noch keinen Server in Betrieb und auch noch nie gehabt (bis auf pihole mit DNS und die HDD an der Fritzbox und irgendwann mal auf localhost einen Apache-Server). Mein Problem ist aber ja schon die richtige Hardware auszuwählen. Ursprünglich hatte ich ein Projekt im Internet entdeckt, dass Snort auf einem Raspberry Pi zum Laufen bringt. Nach allem, was ich gelesen habe, soll das aber kaum in der Lage sein, den ganzen Traffic zu überprüfen, weil da Rechenleistung und vor allem SD-Karte nicht mitkommen würde. Ich kann halt gar nicht abschätzen, was ich an Hardware brauche, so dass Snort nicht nur läuft, sondern auch den Traffic in meinem Heimnetzwerk komplett zu überprüfen. Irgendwo hab ich gelesen, dass man ein RAID bräuchte, allerdings war der Beitrag schon älter und SSD vielleicht noch teuer? Ich weiß es nicht. Den Krempel dann softwareseitig ans Laufen zu bekommen, ist eine andere Sache, so weit bin ich aber ja noch lange nicht.

Bis auf Snort ist erst mal nichts geplant, aber würde nicht schaden, wenn ich den später auch als NAS oder für eine ownCloud nutzen könnte, wenn das keine neuen Probleme macht. Wobei es vermutlich schon sinnvoll wäre, da ausschließlich Snort drauf laufen zu lassen. Dadurch soll der ganze Internet-Traffic für mein Heimnetz (paar PC, paar Raspberry Pi, Smart-TV, paar Smartphones etc). Nur der Freifunk-Router geht an Snort vorbei, wird also als einziger Anschluss neben Snort in die Fritzbox eingesteckt. Ich habe einen recht flotten Kabelnetzanschluss, falls das eine Rolle spielt.

Da das für mich nur ein Hobby ist und der Server in meiner Wohnung stehen wird, möchte ich natürlich am besten kaum was ausgeben und einen sparsamen und leisen Server haben, der im Idealfall auch nicht viel Platz weg nimmt. Irgendwo hab ich hier auch einen Link zu ganz kleinen Servern entdeckt, die es aber wohl nicht mehr gibt (Sheevairgendwas). Habe auch mit Angeboten auf Ebay geliebäugelt für kleines Geld. Bin mir aber halt unsicher, was ich brauche und auch keinen Marktüberblick.
 
Willkommen im Forum Mario_Super!

@Gen8 Runner willst du Leute veraeppeln hier? Der Thread heisst ungelogen "Server fuer Snort" und der Zeit Satz ist "Dafür brauche ich einen Server..." und du fragst "Schon nen Server im Betrieb?" o_O

Zum Thema:
Bist du sicher, dass es Snort sein soll? Ich habe mir das Tool gerade angeguckt und das ist extrem maechtig und auch kompliziert. Das ist definitiv auf den Enterprisebereich ausgelegt. Es gibt eine knapp 300 Seitige Dokumentation (sieht ziemlich gut aus!). Ansonsten musst du mal sagen was fuer einen Datendurchsatz du hast. Wir reden hier allerdings nur von WAN-Traffic. Ich nehme nicht an, dass du ein geroutetes Heimnetzwerk hast, daher wuerdest du maximal den Traffic, der ins Internet geht und daher kommt scannen koennen. Wenn man hier man mal von VDSL250 ausgeht, dann ist (vergleichsweise) wenig Traffic. Ich gebe zu, ich kenn Snort nicht, aber ich denke ein Normaler SOC-Chip mit 2x NIC sollte reichen (ganz unabhaengig von der Software die da laeuft). Storage duerfte ziemlich egal sein, da das alles ohne grosse Schreiboperationen abgeht, RAID kannste machen, wenn du unbedingt ausfallsicherheit brauchst, wobei auch overkill fuer Heimnetz, ist auch nicht ganz einfach mit nem SOC.
Ich wuerde mir auf jeden Fall keinen "richtigen" Server hinstellen, NUR fuer dieses Projekt. Wenn du in Zukunft noch Plaene hast, dann vllt.

Gruss

Edit: Snort scheint es nicht fuer ARM (also die meisten SOCs zu geben). Liegt auch nahe, wenn Enterprise Use-Case.

Edit2: Ich bin doof, Storage ist schon wichtig, immerhin muss der Krams ja geloggt werden :d
 
Sicher bin ich nicht wirklich. Aber nach dem was ich so gelesen habe, soll Snort vergleichsweise anwenderfreundlich sein. Ich kenne aber auch nicht groß Alternativen, die sich für den Heimbereich besser eignen sollen. Ich wäre aber für bessere Vorschläge durchaus offen! Open Source muss es aber sein.

Mein Datendurchsatz bewegt sich völlig im normalen Bereich, mal mehr mal weniger. Das meiste dürfte auf Netflix entfallen. Ab und an ein paar Downloads, Surfen, Zocken, also nichts Besonderes. Wenn ich mich nicht irre, habe ich eine 120-GBit/s-Leitung. 300 MBit/s Leitung. Upload natürlich viel weniger: 20 MBit/s.

Meine Interessengebiete umfassen neben freier Software eben auch Kryptografie und IT-Sicherheit, Pentesting. Bin kein Experte, ist nur Hobby. Aber wenn jemand im meinen Netzwerk herumschnüffeln sollte, würde ich das gerne wissen. ;) Mal angenommen, mein Passwort-Container würde geklaut (kopiert) ... das würde mich schon ziemlich ärgern. Prinzipiell könnten Kriminelle ja von nicht besonders vorsichtigen Nutzern sämtliche Passwörter abgreifen, die gespeichert sind, wenn diese nicht oder nicht hinreichend mit Passwort verschlüsselt sind. Bilder, Privates etc muss auch kein Fremder haben.

Das hier war das erwähnte Raspi-Projekt: https://www.instructables.com/id/Raspberry-Pi-Firewall-and-Intrusion-Detection-Syst/

Zwischenspeichern muss der Snort dann den Traffic und speichern vor allem Logs. Im Prinzip würde ich meinen, dass da eine alte SSD ausreicht mit 60 GB oder so. Ist ja eigentlich massig Platz.

Pläne für die Zukunft ... kann man nie wissen. ;) Wenn maximale Ausbaubarkeit nur nen Zwanni extra kostet, dann klar 8-) Geplant ist aber erst mal nichts weiter. Daher: hauptsache günstig, klein, sparsam und leise.
 
Zuletzt bearbeitet:
Ich würde als HW eine APU4D4 in den Raum werfen. Hat 4 Netzwerk Ports, 4GB RAM und nen 4 Kern AMD. Das sollte ausreichen. Als Unterbau kannst dir pfsense aufspielen da kann man das Snort als extra Packet nachinstallieren. Gibts bei eBay im Bundle mit ne 30GB SSD oder bei varia-store. Dort habe ich mein Bundle her. Freitags spontan bestellt und sogar noch zu Heilig Abend bei mir zu Hause. Kostet ca. 200€
 
eldiabolo18 schrieb:
@Gen8 Runner willst du Leute veraeppeln hier? Der Thread heisst ungelogen "Server fuer Snort" und der Zeit Satz ist "Dafür brauche ich einen Server..." und du fragst "Schon nen Server im Betrieb?" o_O
Zum Vergrößern anklicken....

Veräppeln will ich hier gar keinen. Aber viele User haben eben hier ihre Signatur, wo man auf bestehende Hardware aufbauen könnte, eben dann auch beispielsweise durch Virtualisierung. Könnte im besten Fall dann sogar komplett kostenlos sein.

Aber zurück zum Thema:
Wenn es wirklich nur für Snort sein soll, ist durchaus ein APU Board, wie das von bacon empfohlene, eine gute Wahl. Diese werden auch in der PFSense Community sehr oft genutzt und sind hardwaremäßig absolut kompatibel. Dann wäre das auch meine Wahl. Nur eben leistungsmäßig beschränkt, Snort & VPN (trotz AES-NI) könnte bei extremen Lasten dann schon an irgendwann drosseln. Aber 120Mbit sollten an Durchsatz möglich sein (von 120Gbit träumen hier wohl alle ;)).

Falls doch Interesse daran besteht, dir etwas auch noch in Richtung Owncloud aufzubauen, würde ich mich nach einem Dell PowerEdge umschauen. Dort könntest du dann ESXI installieren und widerrum PFSense mit Snort als VM laufen lassen. Und dann noch OwnCloud installieren.

Stell dir am besten zwei Pakete zusammen:
- Einmal das APU mit Allem was du brauchst (Board, Gehäuse, SSD, Netzteil...)
- Dell PowerEdge T30 / T40 in gewünschter Ausstattung (HP Gen8 ist auch geeignet, aber schon in wenig in die Jahre gekommen und dennoch sehr teuer dafür)

Und den Stromverbrauch gegenüber und entscheide dann, ob dir eventuell zukünftige Basteleien den Aufpreis wert sind. Falls nicht -> APU. Finger würde ich nur grundsätzlich von Realtek-Netzwerkchips lassen, sondern lieber auf Intel setzen. Die sind sehr problemlos.
 
Mario_Super schrieb:
Wenn ich mich nicht irre, habe ich eine 120-GBit/s-Leitung. Upload natürlich viel weniger.
Zum Vergrößern anklicken....

Das waere ein schoen, da muessten wir dann noch aber ein bisschen grossere HW fuer auffahren :d Ich neheme mal an 120Mbit? wobei Upload auch wichtig ist, wenn naemlich up- und download gleichzeitig komplett ausgelastet ist, dann muss das System diese Menge von Paketen zusammen inspizieren koennen.

Mario_Super schrieb:
Im Prinzip würde ich meinen, dass da eine alte SSD ausreicht mit 60 GB oder so. Ist ja eigentlich massig Platz.
Zum Vergrößern anklicken....

Also hier (https://blog.rapid7.com/2017/01/11/how-to-install-snort-nids-on-ubuntu-linux/) steht was von 1TB Storage Platz. Keine Ahnung wie realitaetsnah das ist. Wahrscheinlich kann man die Daten damit Jahre auffheben, insbesonder bei nem Heimnetz... Ich wuerde fast davon ausgehen, dass man zumindest Snort konfigurieren kann, wielange welche Daten vorgehalten werden.

Wenn es wirklich nur um IDS/ IPS geht, dann kannst du auch mal bei Unifi gucken https://help.ubnt.com/hc/en-us/arti...-UDM-Configuring-Internet-Security-Settings#3
Die machen geile HW, geile UI (/CLI wenn man kann und will) und guten Support. Das ist wahrscheinlich das Beste was man ohne grosses rumkonfigurieren einfach hinkriegt.

Ansonsten reden alle noch immer von diesem Glaswire-Zeugs, aber keine Ahnung wie gut das ist. https://www.glasswire.com/
 
Ich werfe noch opnsense in den Raum statt snort bare-system, da snort in v2.x kein multithreading unterstützt. opnsense nutzt suricata, das dieses Problem nicht hat. Der Unterschied hat erhebliche Auswirkungen auf die CPU-Wahl...
 
Melde mich gleich noch ausführlicher, aber nur kurz berichtigt: Natürlich meinte ich MBit/s nicht GBit/s :d Schön wär's! Hab noch mal nachgesehen, meine Leitung hat aktuell (seit letztem Vertragswechsel) 300 MBit/s Download und 20 MBit/s Upload.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh