Snort

[BigBrother]

Смотрю, тема ещё не заежанная))
Вообщем, установил из портов, скачал рулесы (и распаковал в нужную папку). Обьявил в конфиге свои локалки и внешнюю сеть. Запускаю

Код: Выделить всё

snort –D –dev –c /usr/local/etc/snort/snort.conf

Смотрю ifconfig, для одного интерфейса добавился ещё режим promisc, тоесть этот интерфейс прослушывается IDS. Только вот на серваке три сетевухи, как зделать что бы snort их все три слушал?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[OlegMS]

В rc.conf задается имя интерфейса на котором работать - snort_interface="xl1"
По поводу нескольких - не в курсе.

[BigBrother]

меня щас очень сильно волнует проблема того, что при запуске снорта, тратится весь свап на него. Тоесть снорт при запуске сьедает весь swap раздел, после чего система его убивает. Как устранить эту проблему?

ЗЫ вижу людей которые работают/работали со снортом не густо.

[smash_necros]

работал со снортом, никаких проблем не было типа этой
собрал, настроил, запустил - работает
че с твоим понятия не имею

[BigBrother]

Как можно организовать такую задачу:
Есть файлы логов снорта, которые лежат /var/log/snort/
Надо что бы, скажем раз в день эти файлы проверялись, и если там есть новые записи с момента последней проверки, то эти новые строки отсылаются, скажем на po4ta@mail.ru. А какждую неделю эти файлы очишались.
Тоесть, задача стоит втом, что бы облегчить работу по слежению за безопасностью сети в которой работает снорт, что бы каждый раз, самому не пролистовать логи. Или может есть другие идеи как упростить задачу?

[Alex Keda]

скрипт на шелле напиши да и всё.

[BigBrother]

ещё предложения/идеи будут?

[OlegMS]

вообще, как следилку за логами пользую logcheck. Вероятно, если поднастроить, то и сюда сойдет...

[BigBrother]

logcheck

дай ссылку на документацию. два поисковика перерыл, ничего тольком не нашел

[OlegMS]

http://www.freebsd.org/cgi/ports.cgi?qu ... &stype=all
внутри скрипт который проверяет логи на обновление и сравнивает с маской.

[BigBrother]

что-то я не нашел там скрипт ((

[OlegMS]

э... там описание порта. поди по указанному пути, скажи make. Создастся каталог work с прогой. И изучай сколько угодно. Устроит - сделаешь make install.

[BigBrother]

подскажите плз где можно нарыть пример настроки snort_inline что бы он взаимодействовал с ipfw. поисковики перерыл, ничего не нашел

[toughcat]

http://freebsd.rogness.net/snort_inline/

[BigBrother]

Из этой документации, стало ясно как работает снорт_инлайн, но я никак не пойму, как настроить его работу так, что бы в случае обнаружения атаки, снорт блокировалл !Р адресс с которой посылались злонамернные пакеты.
Подскажите плз...