LINUX.ORG.RU
ФорумAdmin

настройка snort


0

0

решил поковырять сию IDS. сделал такой конф:


var HOME_NET $eth0_ADDRESS
var EXTERNAL_NET $eth1_ADDRESS
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
preprocessor flow: stats_interval 0 hash 2
preprocessor stream4: disable_evasion_alerts
preprocessor sfportscan: proto  { all } \
                        memcap { 10000000 } \
                        sense_level { high }
preprocessor arpspoof
output alert_full
var RULE_PATH /etc/snort/rules
include classification.config
include reference.config
include $RULE_PATH/local.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/community-exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/other-ids.rules
include threshold.conf
начинаю с другого компа сканить и пинговать хост со снортом. в логах об этом ничего. лог ведется по адресами, на которые смотрит eth0, а eth1 почему то игнорируется. в чем может быть проблема?


Ответ на: Re: настройка snort от true_admin

Re: настройка snort

>Ну слава богу, я думал это в продакшн :)
Нет, у меня вполне конкретная задача: заставить писать в лог события из подсети 192.168.0.0/24, в которую смотрит eth1. Этого почему то не происходит(пишет только eth0), хотя в конфиге она явно указано как внешняя(пробовал указывать диапазон, вместо $eth1_ADDRESS, все равно не пашет).

Zitzy ()

Re: настройка snort

выдержка с перевода документации по снорту:


Snort 1.7 поддеживает IP lists. Вы можете присвоить несколько адресов одной
переменной, например:

    var HOME_NET [10.1.1.0/24,192.168.1.0/24]

Замечание: Не все препроцессоры поддерживают IP lists. Если ничего не оговорено,
следует полагать, что любой препроцессор при работе с IP lists будет
использовать первую сеть в качестве значения HOME_NET. Препроцессор portscan
один из таких. Для обнаружения всех возможных сканирований портов следует
задавать сеть 0.0.0.0/0 в качестве первого параметра:


источник http://www.opennet.ru/base/faq/snort_faq_ru.txt.html

MikeDM ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.