Страница 1 из 1

Snort

Добавлено: 2007-08-26 12:21:38
BigBrother
Смотрю, тема ещё не заежанная))
Вообщем, установил из портов, скачал рулесы (и распаковал в нужную папку). Обьявил в конфиге свои локалки и внешнюю сеть. Запускаю

Код: Выделить всё

snort –D –dev –c /usr/local/etc/snort/snort.conf
Смотрю ifconfig, для одного интерфейса добавился ещё режим promisc, тоесть этот интерфейс прослушывается IDS. Только вот на серваке три сетевухи, как зделать что бы snort их все три слушал?

Re: Snort

Добавлено: 2007-08-30 15:02:59
OlegMS
В rc.conf задается имя интерфейса на котором работать - snort_interface="xl1"
По поводу нескольких - не в курсе.

Re: Snort

Добавлено: 2007-08-30 18:07:27
BigBrother
меня щас очень сильно волнует проблема того, что при запуске снорта, тратится весь свап на него. Тоесть снорт при запуске сьедает весь swap раздел, после чего система его убивает. Как устранить эту проблему?

ЗЫ вижу людей которые работают/работали со снортом не густо.

Re: Snort

Добавлено: 2007-08-31 8:06:24
smash_necros
работал со снортом, никаких проблем не было типа этой :)
собрал, настроил, запустил - работает
че с твоим понятия не имею

Re: Snort

Добавлено: 2007-09-11 17:45:49
BigBrother
Как можно организовать такую задачу:
Есть файлы логов снорта, которые лежат /var/log/snort/
Надо что бы, скажем раз в день эти файлы проверялись, и если там есть новые записи с момента последней проверки, то эти новые строки отсылаются, скажем на po4ta@mail.ru. А какждую неделю эти файлы очишались.
Тоесть, задача стоит втом, что бы облегчить работу по слежению за безопасностью сети в которой работает снорт, что бы каждый раз, самому не пролистовать логи. Или может есть другие идеи как упростить задачу?

Re: Snort

Добавлено: 2007-09-11 18:07:32
Alex Keda
скрипт на шелле напиши да и всё.

Re: Snort

Добавлено: 2007-09-11 18:34:14
BigBrother
ещё предложения/идеи будут?

Re: Snort

Добавлено: 2007-09-11 19:10:21
OlegMS
вообще, как следилку за логами пользую logcheck. Вероятно, если поднастроить, то и сюда сойдет...

Re: Snort

Добавлено: 2007-09-12 15:47:54
BigBrother
OlegMS писал(а):logcheck
дай ссылку на документацию. два поисковика перерыл, ничего тольком не нашел :(

Re: Snort

Добавлено: 2007-09-12 16:20:29
OlegMS
http://www.freebsd.org/cgi/ports.cgi?qu ... &stype=all
внутри скрипт который проверяет логи на обновление и сравнивает с маской.

Re: Snort

Добавлено: 2007-09-12 19:40:40
BigBrother
что-то я не нашел там скрипт ((

Re: Snort

Добавлено: 2007-09-13 8:28:12
OlegMS
э... там описание порта. поди по указанному пути, скажи make. Создастся каталог work с прогой. И изучай сколько угодно. Устроит - сделаешь make install.

Re: Snort

Добавлено: 2007-09-17 21:14:49
BigBrother
подскажите плз где можно нарыть пример настроки snort_inline что бы он взаимодействовал с ipfw. поисковики перерыл, ничего не нашел :(

Re: Snort

Добавлено: 2007-09-18 8:19:27
toughcat

Re: Snort

Добавлено: 2007-09-19 15:00:31
BigBrother
Из этой документации, стало ясно как работает снорт_инлайн, но я никак не пойму, как настроить его работу так, что бы в случае обнаружения атаки, снорт блокировалл !Р адресс с которой посылались злонамернные пакеты.
Подскажите плз...