Snort

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Snort

Непрочитанное сообщение BigBrother » 2007-08-26 12:21:38

Смотрю, тема ещё не заежанная))
Вообщем, установил из портов, скачал рулесы (и распаковал в нужную папку). Обьявил в конфиге свои локалки и внешнюю сеть. Запускаю

Код: Выделить всё

snort –D –dev –c /usr/local/etc/snort/snort.conf
Смотрю ifconfig, для одного интерфейса добавился ещё режим promisc, тоесть этот интерфейс прослушывается IDS. Только вот на серваке три сетевухи, как зделать что бы snort их все три слушал?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
OlegMS
ефрейтор
Сообщения: 67
Зарегистрирован: 2007-08-21 18:51:57

Re: Snort

Непрочитанное сообщение OlegMS » 2007-08-30 15:02:59

В rc.conf задается имя интерфейса на котором работать - snort_interface="xl1"
По поводу нескольких - не в курсе.

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-08-30 18:07:27

меня щас очень сильно волнует проблема того, что при запуске снорта, тратится весь свап на него. Тоесть снорт при запуске сьедает весь swap раздел, после чего система его убивает. Как устранить эту проблему?

ЗЫ вижу людей которые работают/работали со снортом не густо.

smash_necros
мл. сержант
Сообщения: 138
Зарегистрирован: 2007-06-20 8:39:38
Контактная информация:

Re: Snort

Непрочитанное сообщение smash_necros » 2007-08-31 8:06:24

работал со снортом, никаких проблем не было типа этой :)
собрал, настроил, запустил - работает
че с твоим понятия не имею

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-11 17:45:49

Как можно организовать такую задачу:
Есть файлы логов снорта, которые лежат /var/log/snort/
Надо что бы, скажем раз в день эти файлы проверялись, и если там есть новые записи с момента последней проверки, то эти новые строки отсылаются, скажем на po4ta@mail.ru. А какждую неделю эти файлы очишались.
Тоесть, задача стоит втом, что бы облегчить работу по слежению за безопасностью сети в которой работает снорт, что бы каждый раз, самому не пролистовать логи. Или может есть другие идеи как упростить задачу?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Snort

Непрочитанное сообщение Alex Keda » 2007-09-11 18:07:32

скрипт на шелле напиши да и всё.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-11 18:34:14

ещё предложения/идеи будут?

Аватара пользователя
OlegMS
ефрейтор
Сообщения: 67
Зарегистрирован: 2007-08-21 18:51:57

Re: Snort

Непрочитанное сообщение OlegMS » 2007-09-11 19:10:21

вообще, как следилку за логами пользую logcheck. Вероятно, если поднастроить, то и сюда сойдет...

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-12 15:47:54

OlegMS писал(а):logcheck
дай ссылку на документацию. два поисковика перерыл, ничего тольком не нашел :(

Аватара пользователя
OlegMS
ефрейтор
Сообщения: 67
Зарегистрирован: 2007-08-21 18:51:57

Re: Snort

Непрочитанное сообщение OlegMS » 2007-09-12 16:20:29

http://www.freebsd.org/cgi/ports.cgi?qu ... &stype=all
внутри скрипт который проверяет логи на обновление и сравнивает с маской.

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-12 19:40:40

что-то я не нашел там скрипт ((

Аватара пользователя
OlegMS
ефрейтор
Сообщения: 67
Зарегистрирован: 2007-08-21 18:51:57

Re: Snort

Непрочитанное сообщение OlegMS » 2007-09-13 8:28:12

э... там описание порта. поди по указанному пути, скажи make. Создастся каталог work с прогой. И изучай сколько угодно. Устроит - сделаешь make install.

Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-17 21:14:49

подскажите плз где можно нарыть пример настроки snort_inline что бы он взаимодействовал с ipfw. поисковики перерыл, ничего не нашел :(


Аватара пользователя
BigBrother
сержант
Сообщения: 150
Зарегистрирован: 2007-07-27 17:05:55
Откуда: Украина
Контактная информация:

Re: Snort

Непрочитанное сообщение BigBrother » 2007-09-19 15:00:31

Из этой документации, стало ясно как работает снорт_инлайн, но я никак не пойму, как настроить его работу так, что бы в случае обнаружения атаки, снорт блокировалл !Р адресс с которой посылались злонамернные пакеты.
Подскажите плз...