Snort jako wykrywacz w

[zomer]

Witam
Przeszukałem google, ale nie znalazłem gotowej receptury na pracę ze snorta. Dużo jest tam o bazach danych, mało o samych zapytaniach do snorta. Chcę skorzystać ze snorta na lokalnej maszynie i dowiedzieć się czy do mojego systemu miały miejsce próby włamania?. Daję takie zapytanie

Kod: Zaznacz cały

snort -v

Po pewnym czasie zatrzymuje działanie snorta

Kod: Zaznacz cały

control + c

Lista jest długa, ale na podstawie listy połączeń raczej nie wydedukuje czy było jakieś włamanie czy nie. Może ktoś wie jak używać tego snorta?
Może być inny program, który zapisze mi informacje o podejżanych połączeniach. Firestarter jest skuteczny jako zapora (raczej) ale też nie zapisuje inormacji o próbach włamania. Korzystam z tripwire do porównywania zmian w systemie. Jednak przydał by się program do analizy połączeń internetowych.

[Jacekalex]

Zainstaluj snorta z obsługą mysql lub pgsql - i do tego program base - http://sourceforge.net/project/showfile ... _id=103348 - analizator do snorta.

Base umożliwia sortowanie logów wg. numeru IP - i dokładną analizę treści zapytań.

Opcja snort -v >plik.txt przydaje się natomiast - aby sprawdzić - czy w sieci nie są przesyłane hasła w postaci niezaszyfrowanej: np. wchodzisz na kilka serwisów szyfrowanych i sprawdzasz pocztę przez thunderbirda, a potem w pliku logów snorta szukasz ciągu znaków - takich jak twoje hasła.

Tu masz tłumaczenie pliku konfiguracyjnego: http://forum.ubuntu.pl/attachment.php?a ... 1196760630
W snorcie też można włączyć tryb inline -sterujący firewallem (iptables) - albo zainstalować snortsam lub guardian - do sterowania różnymi typami firewalli.
Snorta w trybie IDS uruchamia się zazwyczaj poleceniem snort -i eth0 -c /etc/snort/snort.conf -D
Gdzie - opcja -i oznacza interfejs; -c ścieżka do pliku konfiguracyjnego; -D uruchamia w trybie demona nasłuchującego.

Pozdrawiam

PS. Snort z repozytorium - wersja 2.7.0.9 nie chce ruszyć w trybie IDS, działa tylko jako snifer.
Jakbyś trafił na działającą - w miarę nową wersję, lub udałoby ci się skompilować wersję 2.8 ze źródeł - to daj znać.

[zomer]

To już jest coś. Dzieki. Widzę że bez ustawienia bazy danych się nie obejdzie. Odnośnie przechwytywania i rozszyfrowywania ciągu znaków przesyłanych np. przez klijenta poczty, wolę Etchereal-a. Snorta chcę wykorzystać do wykrywania podejrzanych połączeń, coś w rodzaju zapory inernetowej. Chociaż nie zupełnie, bo nie chodzi o blokowanie portów a jedynie o analizę pakietów internetowych. Czy nie miało miejsca: zatrucie tablicy ARP, czy nie było próby podszywania się pod adresy IP itp. (chodzi mi o skorzystanie z regół programu snort)

[Jacekalex]

Zajrzyj jeszcze tutaj: http://www.chaotic.org/guardian/
i tutaj: http://www.snortsam.net/

Możesz też w samym snorcie uruchomić funkcję inline - ale jeszcze nie rozgryzłem tej funkcji szczegółowo.

Pozdrawiam

[Yampress]

jeśli masz możliwośc dotarcia do czasopisma hacking9 tow numerach bodajrze ze stycznia i z kwietnia 2007 jest troche odnośnie snorta jako IDS

[zomer]

Tak mam numery od 1 do 5 z lat: 2003-2007. W numerze 04/2007 niewiele znalazłem, ale w 01/2007 już coś jest. Nadal szukam brakujących numerów (od 6 do 12) z lat 2005-2007 Dzięki za wkazówke.