Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Komputer ze Snortem stał pewien czas (ok 8 dni) w sieci komputerowej przed firewallem. Wyniki pracy rejestrował do bazy MySQL w ramach ACID (acidbase). Potrzebuję kogoś kto mi je w miarę sensownie opisze. Oczywiście w pełni można podpierać wiedzą o Google (dla sprytnych przepisywanie tekstu z ang na pl :)). Jako, że zlecenie to za opłatą. Chętnych proszę o kontakt tutaj bądź na PW.
PS. Oczywiście nie chodzi o opis całości badań, tylko wybranych, ciekawszych momentów.
Offline
Snorta trzymaj za firewallem, to nie będziesz miał problemów.
Bo w internecie jest tyle śmiecia, różnych przeadresowanych i zwalonych pakietów, spory ruch wirusów i innych robaków, które szukają ofiar, że można w tym utonąć.
W dodatku 99% danych w bazie masz bezwartościowych.
W dodatku, jeśli włączyłeś wszystkie zestawy reguł Snorta, to masz też sporo fałszywych ataków, dotyczących usług, których w ogóle nie masz w sieci.
Snorta najlepiej spiąć ze Snortsamem lub Guardianem, żeby blokował połączenia,wtedy się przynajmniej na coś przyda - będzie działał jako IPS.
Może też np logować podejrzaną aktywność wewnątrz sieci lokalnej, wykrywając maszyny zainfekowane robakiem sieciowym.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:08)
Offline
Czy są fałszywe, czy nie, nie ma to w tej chwili znaczenia, ale w pełni popieram treść Twojego poprzedniego posta.
Zarejestrowano 63 różnych alertów, mogę je udostępnić...
Jacekalex może zechcesz opisać kilka wybranych?
Ostatnio edytowany przez kondzio14 (2011-06-06 06:54:58)
Offline
Przeniosłem, bo to nie ogłoszenie
Offline
Bodzio napisał(-a):
Przeniosłem, bo to nie ogłoszenie
Przenoszę na nowo, bo to jest ogłoszenie — zlecenie wykonania zadania.
Offline
Odpal sobie Base do Snorta, i ta, o ile pamiętam, przy każdym alercie będzie link do strony opisującej dane zagrożenie ,o ile pamiętam, bo snorta nie używam od jakiegoś czasu inaczej, jak IPS z Guardianem, w logi nie zaglądam, o ile wszystko działa jak należy.
A to widzę po adresach dorzucanych do fw.
Edyta:
Zamień zlecenie na czytanie ze zrozumieniem:
# alert tcp $EXTERNAL_NET any -> $HOME_NET 20034 (msg:"BACKDOOR NetBus Pro 2.0 connection request"; flow:to_server,established; content:"BN |00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; flowbits:set,backdoor.netbus_2.connect; flowbits:noalert; classtype:misc-activity; sid:3009; rev:4;)
# alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:trojan-activity; sid:115; rev:12;)
To kawałek backdoor.rules.
Przy każdej regule jest komentarz z nazwą np NetBus Pro 2.0
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:55)
Offline
Ok, już sobie poradziłem, Nie obawiałem się tego, tylko lenistwo się odezwało - wiem, zły podpowiadacz :)
Offline