настройка snort

0

0

решил поковырять сию IDS. сделал такой конф:


var HOME_NET $eth0_ADDRESS
var EXTERNAL_NET $eth1_ADDRESS
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
preprocessor flow: stats_interval 0 hash 2
preprocessor stream4: disable_evasion_alerts
preprocessor sfportscan: proto  { all } \
                        memcap { 10000000 } \
                        sense_level { high }
preprocessor arpspoof
output alert_full
var RULE_PATH /etc/snort/rules
include classification.config
include reference.config
include $RULE_PATH/local.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/other-ids.rules
include threshold.conf

начинаю с другого компа сканить и пинговать хост со снортом. в логах об этом ничего. лог ведется по адресами, на которые смотрит eth0, а eth1 почему то игнорируется. в чем может быть проблема?

Ссылка

←	блин, парюсь с iocharset=cp866

iptables роутинг.

→

Если не секрет, зачем тебе snort?

true_admin ★★★★★
(04.03.09 09:22:06 MSK)

Ответ на: комментарий от true_admin 04.03.09 09:22:06 MSK

>Если не секрет, зачем тебе snort?
Не секрет. Небольшая исследовательская работа. Вот сижу и разбираюсь.

Zitzy
(04.03.09 10:12:38 MSK) автор топика

Ответ на: комментарий от Zitzy 04.03.09 10:12:38 MSK

Ну слава богу, я думал это в продакшн :).

true_admin ★★★★★
(04.03.09 17:48:33 MSK)

Ответ на: комментарий от true_admin 04.03.09 17:48:33 MSK

>Ну слава богу, я думал это в продакшн :)
Нет, у меня вполне конкретная задача: заставить писать в лог события из подсети 192.168.0.0/24, в которую смотрит eth1. Этого почему то не происходит(пишет только eth0), хотя в конфиге она явно указано как внешняя(пробовал указывать диапазон, вместо $eth1_ADDRESS, все равно не пашет).

Zitzy
(04.03.09 18:12:54 MSK) автор топика

Ссылка

выдержка с перевода документации по снорту:


Snort 1.7 поддеживает IP lists. Вы можете присвоить несколько адресов одной
переменной, например:

    var HOME_NET [10.1.1.0/24,192.168.1.0/24]

Замечание: Не все препроцессоры поддерживают IP lists. Если ничего не оговорено,
следует полагать, что любой препроцессор при работе с IP lists будет
использовать первую сеть в качестве значения HOME_NET. Препроцессор portscan
один из таких. Для обнаружения всех возможных сканирований портов следует
задавать сеть 0.0.0.0/0 в качестве первого параметра:


источник http://www.opennet.ru/base/faq/snort_faq_ru.txt.html

MikeDM ★★★★★
(27.03.09 08:21:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	блин, парюсь с iocharset=cp866

Admin

iptables роутинг.

→

Похожие темы