Snort на FreeBSD

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-07-29 14:40:25

Snort является системой предотвращения вторжений, способной работать в двух режимах “Sniffer Mode” и “Packet Logger Mode”. Snort может быть использован для выявления различных атак, как, например, переполнение буфера, скрытое сканирование портов, CGI attacks, SMB probes, OS fingerprinting attempts, и многое другое. В общем, сугубо полезная штука и распространяется по GNU GPL.
Что понадобиться:
• MySQL
• Libnet
• Libpcap
• BASE
• Barnyard2-1.5
• Apache
• Php5
• php5-extensions
• snort-2.8.4.1
• FreeBSD 7.0
• oinkmaster-2.0_1

Установка MySQL:
Первым ставим MySQL (http://www.lissyara.su/?id=1189), дабы в нем хранить логи. И создадим в ней базу и пользователя “snort”

Код: Выделить всё

mysql> create database snort;
mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort;
mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;
mysql> use mysql;
mysql> set password for 'snort'@'localhost'=password('123');
mysql> set password for 'snort'@'%'=password('123');
mysql> flush privileges;
mysql> exit
Установка SNORT:

После ставим сам snort. Естественно порты должны быть в актуальном состоянии.
#cd /usr/ports/security/snort/ && make install clean
Выбираем поддержку MySQL ([X] MYSQL Enable MySQL support)
Если в системе хватает всех библиотек, встать должно без проблем. Иначе качаем и ставим те библиотеки, которые попросит.

Правила Snort.

Правила можно написать самому, иногда это действительно требуется, либо же взять у snort.org. Как получить эти правила? Тут у нас есть три пути:
1. Зарегиться на сайте (https://www.snort.org/signup). Получать обновления каждые 30 дней.
2. Подписать на рассылку, обновления будут приходить в реальном времени, как только они становятся доступными.
3. Незарегистрированные пользователи получают статичные правила во время каждого крупного Snort-релиза
Как добывать, дело ваше, вообще не дорого подписаться, для одной машины 30 баков всего. Но зная русскую натуру и реалии жизни, думаю, первый вариант всех устроит :).
После регистрации:

Код: Выделить всё

$wget http://dl.snort.org/reg-rules/snortrules-snapshot-2.8.tar.gz
$wget http://dl.snort.org/reg-rules/snortrules-snapshot-CURRENT.tar.gz.md5
Проверим целостность.

Код: Выделить всё

$md5 snortrules-snapshot-2.8.tar.gz
Успокоившись, что почти 90!!! метров (после распаковки 500 mb) скачались без ошибки. В архиве находятся
doc
etc
rules
so_rules
распаковываем и кладем в папку /usr/local/etc/snort/

Добыча правил посредством oinkmaster(update Snort signatures)

Ставим из портов, благо есть. Убрал поддержку ipv6 до 12 года еще далеко, а там может еще обновлюсь

Код: Выделить всё

#cd /usr/ports/security/oinkmaster/ && make install clean
Копируем и правим конфиг

Код: Выделить всё

#cp oinkmaster.conf.sample oinkmaster.conf
#vim oinkmaster.conf
Видим большой конфиг, но не пугаемся это в основном коменты :). Скажу сразу свой <oinkcode> смотрим на сайте snort’a в разделе My Account->Subscriptions and Oinkcodes->Oinkcodes
Мой конфиг:

Код: Выделить всё

# $Id: oinkmaster.conf,v 1.132 2006/02/02 12:05:08 andreas_o Exp $ #
#
url = http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode>/snortrules-snapshot-2.8.tar.gz
# Assume UNIX style by default:
path = /bin:/usr/bin:/usr/local/bin
# Temporary directory to use.
# Поменял на свою, ибо по умолчанию кладет /tmp
tmpdir = /home/oinkmaster/tmp/
#
update_files = \.rules$|\.config$|\.conf$|\.txt$|\.map$
#######################################################################
# Files to totally skip (i.e. never update or check for changes)      #
#                                                                     #
# Syntax: skipfile filename                                           #
# or:     skipfile filename1, filename2, filename3, ...               #
#######################################################################
skipfile local.rules
skipfile deleted.rules
skipfile snort.conf
Забегая вперед, скажу что потребуется makesidex.pl который почему то с портами не встал или я не нашел куда он делся, нужен для создания карты сигнатур с измененными настройками.
Поэтому пришлось качать с сайта

Код: Выделить всё

lynx http://downloads.sourceforge.net/project/oinkmaster/oinkmaster/2.0/oinkmaster-2.0.tar.gz?use_mirror=sunet
лежит в папке contrib
запуск

Код: Выделить всё

#cp makesidex.pl /usr/local/etc/snort/
#./makesidex.pl rules >/us	r/local/etc/autodisable.conf
#cd /usr/local/etc/
#oinkmaster -o snort/rules -C oinkmaster.conf -C autodisable.conf
Должно выдать

Код: Выделить всё

oinkmaster -o snort/rules -C oinkmaster.conf -C autodisable.conf
Loading /usr/local/etc/oinkmaster.conf
Loading /usr/local/etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-2.8.tar.gz... done.
Archive successfully downloaded, unpacking... done.
Setting up rules structures... done.
Processing downloaded rules... disabled 1, enabled 0, modified 0, total=8179
Setting up rules structures... done.
Comparing new files to the old ones... done.
и результат обновления :)


Теперь переходим к конфигурированию

Код: Выделить всё

#vim /usr/local/etc/snort/snort.conf
# В нем синем по черному (включен синтаксис vim’a) написано, что конфигурирование надо проводить в 6! этапов:
# 1) Установка переменных для вашей сети 
# 2) Настройка динамически загруженных библиотек (оставим по умолчанию, ибо это пути к библиотекам)
# 3) Настройка препроцессоров (так же оставим их)
# 4) Конфигурирование параметров вывода (натравим на mysql)
# 5) Add any runtime config directives (не знаю как правильно перевести, интуитивно понятно)
# 6) Подгонка правил
Начнем:
Куски конфига, т.е. те в которых были изменения.
Шаг первый, самый важный:

Код: Выделить всё

# Step #1: Set the network variables:
# $HOME_NET определяет IP-адреса, считаемые адресами нашей домашней сети
var HOME_NET [172.16.0.0/16]
#
# Можно использовать any (любой адрес). Для уменьшения нагрузки на snort, многие присваивают значение not HOME_NET
var EXTERNAL_NET !$HOME_NET
#
# Ну тут список ваших серверов, которые и будет защищать хрюндель.
# следует убрать лишнее либо задать более конкретно
#
# List of DNS servers on your network
var DNS_SERVERS $HOME_NET
# List of SMTP servers on your network
var SMTP_SERVERS $HOME_NET
# List of web servers on your network
var HTTP_SERVERS $HOME_NET
# List of sql servers on your network
var SQL_SERVERS $HOME_NET
# List of telnet servers on your network
var TELNET_SERVERS $HOME_NET
#  SNMP в помине не было
#var SNMP_SERVERS $HOME_NET
#
# Ports you run web servers on и так и понятно можно вписывать как [80,8080]
portvar HTTP_PORTS 80
#
# Ports you want to look for SHELLCODE on.
portvar SHELLCODE_PORTS !80
#
# Ports you might see oracle attacks on
#portvar ORACLE_PORTS 1521
#
# Другие переменные
# например AOL'вские сервера
# AIM servers.
var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
#
# Путь до файла с правилами
var RULE_PATH /usr/local/etc/snort/rules
var PREPROC_RULE_PATH /usr/local/etc/snort/preproc_rules
Сразу к 4му шагу настройка выводов

Код: Выделить всё

# database: log to a variety of databases
# ---------------------------------------
# See the README.database file for more information about configuring
# and using this plugin.
#
 output database: log, mysql, user=snort password=123 dbname=snort host=localhost
5й пропускаем, а на последнем, 6ом шаге, выбираем сигнатуры которые будем использовать.
После выбора нужных, можно сказать что первоначальное конфигурирование завершено.
Далее, таблицы для snort ручками делать бессмысленно, делаем так:

Код: Выделить всё

mysql -p <  /usr/local/share/examples/snort/create_mysql snort
Запуск

Код: Выделить всё

# snort -o -i le0 -d -c /usr/local/etc/snort/snort.conf
(вместо le0 можно указать любой другой прослушиваемый интерфейс), использованные опции означают:

• -o - сменить порядок применения правил с Alert -» Pass -» Log order на Pass -»Alert -» Log order, это ускоряет несколько работу.
• -i le0 - слушать указанный интерфейс. Можно опустить, если интерфейс один в системе (интерфейс vmwar так называется).
• -d - выводить содержимое уровня приложения в пакетах, если стоит режим избыточности вывода или ведения учёта пакетов (дополнительная информация нам не помешает).
• -с /etc/snort/snort.conf - использовать указанный конфигурационный файл.

При первом запуске выдал ошибку на dos.rules, типа не знает переменной ORACLE_PORTS, оракла у мну нет, смело комментирую в правилах эту строчку и все что связанно с oracle. Вот тут то нам и понадобиться makesidex.pl, что бы при обновлении коменты не слетали.

После этого успешно стартануло :). Ставим запуск при загрузке:

Код: Выделить всё

#echo 'snort_enable="YES"' >> /etc/rc.conf
Анализ логов посредством BASE

Код: Выделить всё

#cd /usr/ports/security/base&&make install clean
И естественно поддержку мускула
[X] MYSQL Enable MySQL support
Выдал каку
Fatal error: Call to undefined function preg_match() in /usr/local/share/pear/PEAR/Frontend/CLI.php on line 57
лечиться
The fix: edit the pecl script (usually /usr/local/bin/pecl) and remove the ‘-n’ from the command line arguments.
По нашенски, надо убрать ключ “-n” из /usr/local/bin/pecl из строки в строке запуска (exec $PHP…)

Добавляем алиас в конфик апача

Код: Выделить всё

Alias /base “/usr/local/www/base”
<Directory /usr/local/www/base>
AllowOverride Options FileInfo
Allow from all
</Directory>
Добавляем в php.ini

Код: Выделить всё

include_path = ".:/usr/local/share/pear"
include_path = ".:/usr/local/share/pear:/usr/local/share/fpdf"
Раскоменнтируем
error_reporting = E_ALL & ~E_NOTICE
коментим error_reporting = E_ALL

Ставим разрешения на изменения конфигурационных файлов в директории BASE (по умолчанию /usr/local/www/base)

Перезапускаем апач и конфигурим BASE
Заходим через любимый браузер на http://your_server/base и видим
Изображение
Далее
Изображение
Последний слеш не ставим
Далее вводим данные mysql
Изображение
Далее вводим данные аутентификации, можно использовать системную учетку но лучше свою
Изображение
Создание таблиц
Изображение
Изображение
Красный пугает, могли бы и эргономичней поступить(зеленым например)
Ну вот и все
Изображение
Дальше будет куча проблем с ложными срабатываниями, но это уже другая тема
SnortSAM и IPFW

SnortSam - это плагин, может работать с многими фаерами (даже с isa), но нас интересует ipfw и это ipfw2

(поддержка таблиц), для ранних версий bsd придется пересобрать ядро.

Код: Выделить всё

#cd /usr/ports/security/snortsam/
#make install clean
[X] IPFW  Enable IPFW table checking if it set deny rules
#cd /usr/local/etc/snortsam/
#cp snortsam.conf.sample snortsam.conf
Что менял в конфиге, вообще очень гибкий инструмент, можно показать явно что ни когда не блочить, например

корневые днс и т.д и подгружать это из файла (include) или указать в самом конфиге.

Код: Выделить всё

#
# pass
defaultkey 123
# в примере порт 666, но мы не суеверные :)
port 777
#
accept 127.0.0.1, 123
# На сколько блочить
keyinterval 10 minutes
# В /var/log/ нужно содать такой файло
logfile snortsam.log
# Три уровня видения логов
#      0: Quiet - No logging occurs.
#      1: Sparse - Only errors are logged.
#      2: Normal - Errors and blocks are logged.
#      3: Verbose - Additional information (such as connections/disconnections)
#         are logged as well.
loglevel 2
# Таблицы в которые будем заносить "врагов народа"
ipfw2 le0 1 2
#
#   With tables rules like:
#              00010 deny ip from any to table 1 via le0
#              00011 deny ip from table 2 to any via le0
# Путь к фаеру
fwexec /sbin/ipfw
# те самые днс
include /usr/local/etc/snortsam/rootservers.cfg
Добавляем в ipfw правила

Код: Выделить всё

${FwCMD} add deny log ip from any to "table(1)" via le0
${FwCMD} add deny log ip from "table(2)" to any via le0
В конфиг snort.conf добовляем

Код: Выделить всё

output alert_fwsam: localhost:777/123
теперь точно все

Литература:
google.com
http://www.snort.org/
http://www.opennet.ru/base/faq/snort_faq_ru.txt.html
http://snortgroup.ru
http://global-security.blogspot.com
http://doc.emergingthreats.net/bin/view ... nortSamFAQ
http://oinkmaster.sourceforge.net/

PS. Пинаем не стесняемся
Последний раз редактировалось Zemskov 2009-08-03 10:58:10, всего редактировалось 5 раз.
Difficile est proprie communia dicere

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Snort на FreeBSD

Непрочитанное сообщение Morty » 2009-07-29 15:17:28

рулесы еще можно тянуть с помощью

Код: Выделить всё

oinkmaster

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-07-29 15:25:24

и правила в ipfw добовлять SnortSam'ом, поправлю статью позже, и как вариант допишу про oinkmaster
Difficile est proprie communia dicere

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение princeps » 2009-07-29 15:32:54

в последнем номере хакера как раз похожая статья была
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-07-29 15:35:08

в последнем номере хакера как раз похожая статья была
балин, пустые труды, дайте почитать
Difficile est proprie communia dicere

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение princeps » 2009-07-29 17:09:41

да почему же пустые, я думаю, у этого сайта побольше аудитория, так что молодец. Дать могу, тебе скан отправить?
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-07-30 11:29:01

Дать могу, тебе скан отправить?
Было бы не плохо, мыло в личку ушло, спасибо
Difficile est proprie communia dicere

Аватара пользователя
serge
майор
Сообщения: 2133
Зарегистрирован: 2006-07-30 15:34:14
Откуда: Саратов
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение serge » 2009-07-30 14:30:00

Zemskov писал(а):балин, пустые труды, дайте почитать
Ничего подобного. Писал - значит думал и вникал. А это гораздо полезнее чем использовать готовый материал.

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-07-30 14:51:04

Ничего подобного. Писал - значит думал и вникал. А это гораздо полезнее чем использовать готовый материал.
спасибо
По замечанию Morty добавил раздел
Добыча правил посредством oinkmaster(update Snort signatures)
Difficile est proprie communia dicere

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Alex Keda » 2009-08-02 13:24:34

дык - регистрируйся и выкладывай
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение Alex Keda » 2009-08-02 21:41:58

по ширине - впишитесь в 610 пикселов средней колонки.
и видимой сразу делать ненадо.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-08-02 22:45:18

Исправленно
Отдельное спасибо princeps
за присланную статью, прикрепляю для общего ознакомления...
http://slil.ru/27880918
Difficile est proprie communia dicere

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2009-09-03 7:18:47

На 64-битной системе не соединяются snort и snortsam. Ошибка:
snortsam.log

Код: Выделить всё

2009/09/02, 15:50:31, 127.0.0.1, 3, snortsam, Accepted connection from 127.0.0.1.
2009/09/02, 15:50:31, 127.0.0.1, 3, snortsam, Adding sensor 127.0.0.1 to list.
2009/09/02, 15:50:31, 127.0.0.1, 3, snortsam, Had to use initial key!
2009/09/02, 15:50:31, 127.0.0.1, 1, snortsam, Snort station 127.0.0.1 using wrong password, trying to re-sync.
snort:

Код: Выделить всё

[Alert_FWsam](FWsamCheckIn) Password mismatch! Ignoring host
Можно считать что Гугель ответов не знает.
Итак: как установить snort и snortsam на 64-битную FreeBSD.
1) обновляем порты. Получились версии: snort-2.8.4.1_1, snortsam-2.60.
2) качаем snortsam-2.57 с сайта разработчика: http://www.snortsam.net/files/oldfiles/ ... .57.tar.gz
3)

Код: Выделить всё

# cd /usr/ports/security/snort
# make config   - выбираем какие нам надо галочки
# make fetch extract patch
теперь лезем в snortsam-src-2.57.tar.gz, находим там два файла src/twofish.c/.h и заменяем такие же файлы в /usr/ports/security/snort/work/snort-2.8.4.1/src/

Код: Выделить всё

# make build install clean
Snort установили. Едем дальше:
4)

Код: Выделить всё

# cd /usr/ports/security/snortsam
# make config   - выбираем какие нам надо галочки
# make fetch extract
в папке /usr/ports/security/snortsam/work/snortsam/ удаляем все кроме CVS, копируем туда содержимое snortsam-src-2.57.tar.gz

Код: Выделить всё

# make build install
Собственно после ошибка с паролем при коннекте snort и snortsam пропадает. У меня все заработало.

Источник: маил-листы на сайте разработчика. Нашел в гугле, страница не открывается, выковырял из кэша. Поэтому приведу цитаты (Frank - это автор snortsam):
...A couple of updates have been committed to CVS which brings Snortsam to
version 2.57:
* Twofish: The fixes necessary to generate Twofish library code that is
compatible between 32 and 64 bit systems, has finally been committed to
CVS. Initial tests are very positive. Anyone that is using Snortsam on a
64 bit system is encouraged to try this fix.

Likewise, if you are running Snort on a 64 bit system, copy the updated
twofish.c and twofish.h files to the proper place in the Snort source
after patching it.
...
Thanks!
Frank
On Thu, 2009-02-12 at 11:37 -0600, Luis Daniel Lucio Quiroz wrote:
> in my snortsam.conf i have
> defaultkey a675aea34044f8ea5a4169267f319db1
> accept 127.0.0.1/8, a675aea34044f8ea5a4169267f319db1
>
> and in snort.conf i have
> output alert_fwsam: 127.0.0.1:898/a675aea34044f8ea5a4169267f319db1
>
> why is falling, do I missing something?

Fixed via discussion in IRC channel (#emerging-threats on Freenode).

Problem was that this system is a 64-bit machine. Although Luis used the
latest version of Snortsam with the fixed Twofish files, Snort did not
use the updated files (the patch apparently hasn't been updated with the
updated twofish.c/.h files). Solution was to patch Snort as normal, then
replace the twofish files in Snort with the updated Twofish files from
the latest Snortsam source, and recompiling Snort.

Regards,
Frank

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: Snort на FreeBSD

Непрочитанное сообщение frya_foreva » 2009-09-09 6:00:25

Доброе времени суток! не стал создавайть новый топик, есть вопросик по работе snort.

Поставил также как и в статье, вроде все работает. Когда начал тестить: например сканировать сканером портов в надежде, что появится оповещение, но BASE показывет: "Траффик сканирования портов (0%)", а пишет всякую бяку типа: "RPC portmap mountd request UDP", "SQL ping attempt". Научите как прально настраивать, чтобы прально детектировал аттаки?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение schizoid » 2009-09-09 10:23:57

снорт умеет слушать только ту машину на которой стоит, или можно как-то настроить что бы он обслуживал несколько серверов сети?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2009-09-09 11:21:11

frya_foreva писал(а): Поставил также как и в статье, вроде все работает. Когда начал тестить: например сканировать сканером портов в надежде, что появится оповещение, но BASE показывет: "Траффик сканирования портов (0%)", а пишет всякую бяку типа: "RPC portmap mountd request UDP", "SQL ping attempt". Научите как прально настраивать, чтобы прально детектировал аттаки?
Правила (сигнатуры) на сканирование портов в конфиге включены?
- Просмотрите правила на сканирование. Возможно, если там стоит from EXTERNAL_NET to HOME_NET, то правила могут не срабатывать при условии что айпишник с которого сканировали сервер входит в подсеть указанную в переменной HOME_NET в конфиге снорта.
- Попробуйте переменной HOME_NET указать значением только айпи сервера. После этого посканируйте.
schizoid писал(а):снорт умеет слушать только ту машину на которой стоит, или можно как-то настроить что бы он обслуживал несколько серверов сети?
снорт слушает траффик проходящий через сервер. Соответственно снорт может выдавать предупреждения про другой сервер, который находится в переделах HOME_NET и при условии если первый сервер является шлюзом для второго, но инфа будет не полной. Лучше ставить снорт на каждый сервер.
Тут уже все зависит от правил. Некоторые правила написаны from any to any, а некоторые from EXTERNAL_NET to HOME_NET.

Хорошая дока по снортовским правилам.
SnortRules.pdf
Хорошая дока по снортовским правилам.
(366.59 КБ) 176 скачиваний

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Snort на FreeBSD

Непрочитанное сообщение schizoid » 2009-09-09 11:44:57

ок.спасибо.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: Snort на FreeBSD

Непрочитанное сообщение frya_foreva » 2009-09-09 13:06:43

правила подключены, но вот какие правила отвечают именно за сканирование? вот кусок из конфига snort.conf :

Код: Выделить всё

var HOME_NET [внешний ip,локалка/8]
var EXTERNAL_NET any
как быть?

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: Snort на FreeBSD

Непрочитанное сообщение frya_foreva » 2009-09-09 13:07:56

правила подключены, но вот какие правила отвечают именно за сканирование? вот кусок из конфига snort.conf :

Код: Выделить всё

var HOME_NET [внешний ip,локалка/8]
var EXTERNAL_NET any
мне нада чтобы при сканировании именно внешнего ip, детектилось как сканирование портов,как быть?

сори что два раза запостилось, нечаянно два раза кликнул

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2009-09-09 13:42:38

Наверно этот, только не могу точно сказать на какие сканирования эти правила срабатывают:

Код: Выделить всё

include $RULE_PATH/scan.rules
Дезинформировал. За ""Траффик сканирования портов" в BASE отвечает раздел в конфиге снорта:

Код: Выделить всё

# sfPortscan                                       
# ----------                                       
# Portscan detection module.  Detects various types of portscans and
# portsweeps.  For more information on detection philosophy, alert types,
# and detailed portscan information, please refer to the README.sfportscan.

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: Snort на FreeBSD

Непрочитанное сообщение frya_foreva » 2009-09-09 13:58:47

а прявильно ли я указал

Код: Выделить всё

var HOME_NET [внешний ip,локалка/8]
var EXTERNAL_NET any
для моих целей?

не совсем понял чего нада делать в конфиге снорта, прочитав ентот файли, подскажите плиз

flexbert
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-12-02 12:01:42

Re: Snort на FreeBSD

Непрочитанное сообщение flexbert » 2009-09-09 14:51:55

HOME_NET - кому могут быть адресованы угрозы. Или, проще говоря, что защищаем.
EXTERNAL_NET - откуда могут исходить угрозы (от кого защищаемся).

В конфиге снорта этот раздел посмотрели? Там вроде приводится исчерпывающая информация по настройке sfPortscan.
Сам с ним не разбирался, т.к. у меня сканирование портов сразу показало около 70%. Но у нас в сети очень много внешних айпишников и большой объем траффика.

frya_foreva
рядовой
Сообщения: 41
Зарегистрирован: 2009-03-19 13:49:56

Re: Snort на FreeBSD

Непрочитанное сообщение frya_foreva » 2009-09-11 12:57:13

нажимаю поиск, задаю критерии, появляется ошибка:

Код: Выделить всё

/usr/local/www/base/includes/base_state_criteria.inc.php:155: WARNING: The following query key has not been implemented, yet: "tcp_flags".
Report it to the BASE developers, please.

#0 CriteriaState->CriteriaState(base_qry_main.php, &new=1&submit=Query+DB) called at [/usr/local/www/base/base_qry_main.php:80]
в чем может быть проблема?

Pro
проходил мимо

Re: Snort на FreeBSD

Непрочитанное сообщение Pro » 2009-10-07 15:17:00

Устаовил все точно по ману, но лог пуст. Просто создается файл на момент запуска снорта и все. Подскажите в чем может быть трабла.

Аватара пользователя
Zemskov
рядовой
Сообщения: 29
Зарегистрирован: 2009-07-29 14:02:16

Re: Snort на FreeBSD

Непрочитанное сообщение Zemskov » 2009-10-09 12:00:55

Pro писал(а):Устаовил все точно по ману, но лог пуст. Просто создается файл на момент запуска снорта и все. Подскажите в чем может быть трабла.
Проверьте права доступа на файл лога
Difficile est proprie communia dicere