Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#26  2019-05-07 15:28:14

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

@Jacekalex
Routerek, który podałeś kupiony, OpenWRT zainstalowany. Luci także. Co robimy dalej ^^?

@urbinek
bardziej mi chodziło o router :P teraz już kupiłem, więc pójdzie ISP <=> OpenWRT <=> Router <=> reszta maszyn.
Od czego mam teraz zacząć? ^^
Dziękuję za pomoc:)

Offline

 

#27  2019-05-07 17:16:44

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

spayk napisał(-a):

Od czego mam teraz zacząć? ^^

Konfiguruj sieć a potem jedziesz z dokumentacją :D


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#28  2019-05-16 16:37:55

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

@urbinek, sieć mam skonfigurowaną i powiem, że zaczyna mi się podobać openwrt. Postawiłem sobie też sambę ^^
Ale do rzeczy... Przeszukałem trochę wujaszka... bez skutecznie. Nie da rady jakiegoś gui pod tego snorta podpiąć?
Sguil, kibana, cokolwiek. Bo mie się już pomysły kończo powoli ><

Offline

 

#29  2019-05-16 17:47:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Proxmox+router+system ids

GUI pod  Snorta?

Kiedyś był moduł Snorta do Webmina, ale nieoficjalny i od dawna nie rozwijamy.
W każdym razie plik konfiguracyjny Snorta nie jest jakoś tragicznie skomplikowany, także możesz tego Snorta skonfigurować używając edytora programistycznego  Geany.

To najpewniejsze narzędzie do edytowania plików konfiguracyjnych, działa też na zdalnych zasobach podmontowanych przez sshfs w Linuxie.

A tu masz conieco o Snort'cie w OpenWRT:
https://openwrt.org/docs/guide-user/services/snort

Snorta fajnie używać z logowaniem do Mysqla i programem ACID (to skrypt PHP do przeglądania logów Snorta).
Tylko trzeba sensownie wtedy ustawić logowanie w Snorcie, żeby Ci nie napchał 5 milionów rekordów w bazie danych dziennie.

Tu masz conieco na ten temat:
http://www.linux-educd.pl/?p=18

Ostatnio edytowany przez Jacekalex (2019-05-16 17:54:58)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#30  2019-05-21 10:26:23

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

@Jacekalex
Dzięki. Przeczytałem. Skonfigurowałem co nie co, ale sypie błędami poprzez odpalenie komendy:

Kod:

snort -c "snort.conf" -i "lo" --daq-dir /usr/lib/daq

"lo" gdzie to jest zastąpione moją nazwą sieci lokalnej.
Gdy startuje snorta nic mi w konsoli nie wyświetla. Plik z logiem jest pusty i się w ogóle nie zapisuje. Co może być nie tak? Gdzie szukać przyczyny?

Offline

 

#31  Wczoraj 03:03:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Proxmox+router+system ids

Snort od jakiegoś już czasu zapisuje logi binarne.
Może jednak wyrzucać komunikaty na STDERR jak go odpalisz pz przełącznikiem A, np:

Kod:

/usr/sbin/snort -A -i eth0 -c /etc/snort/snort.conf --daq-dir /usr/lib/daq

Pozdro

Ostatnio edytowany przez Jacekalex (Wczoraj 03:04:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#32  Wczoraj 14:33:11

  spayk - Użytkownik

spayk
Użytkownik
Zarejestrowany: 2019-04-23

Re: Proxmox+router+system ids

@jacekalex
No niestety, ale przy wypuszczeniu komendy, którą mi dałeś otrzymuje błąd:

Kod:

~ash: /usr/sbin/snort not found

wydając komendę:

Kod:

/usr/bin/snort -c /etc/snort/snort.conf

wypluwa:

Kod:

488 out of 1024 flowbits in use.
ERROR: ACSM-No Memory: queue_add!
Fatal Error, Quitting..

To tylko urywek błędu. Potrzebowałbym jeszcze komendę, która mogłaby wyeksportować cały proces, aby tu wkleić.
podczas odpalania snorta z folderu /usr/sbin przy pomocy snort, wypluwa:

Kod:

Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

libpcap i libdaq zainstalowany. Co mogę w tej sytuacji zrobić?

Offline

 

#33  Wczoraj 21:25:47

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Proxmox+router+system ids

Oddychaj urbinek, oddychaj... :)

spayk napisał(-a):

No niestety, ale przy wypuszczeniu komendy, którą mi dałeś otrzymuje błąd:

Kod:

~ash: /usr/sbin/snort not found

Każde distro może mieć inaczej skompilowane paczki, jak binarki możesz zawsze poszukać poleceniem which

spayk napisał(-a):

podczas odpalania snorta z folderu /usr/sbin przy pomocy snort, wypluwa:

Kod:

Running in packet dump mode

--== Initializing Snort ==--
Initializing Output Plugins!
ERROR: Can't find pcap DAQ!
Fatal Error, Quitting..

libpcap i libdaq zainstalowany. Co mogę w tej sytuacji zrobić?

Dlaczego odpalasz (i zakładam kopiujesz) snorta z innej lokalizacji?


spayk napisał(-a):

wydając komendę:

Kod:

/usr/bin/snort -c /etc/snort/snort.conf

A reszta parametrów? Dlaczego się ich pozbyłeś?

spayk napisał(-a):

Kod:

488 out of 1024 flowbits in use.
ERROR: ACSM-No Memory: queue_add!
Fatal Error, Quitting..

To tylko urywek błędu. Potrzebowałbym jeszcze komendę, która mogłaby wyeksportować cały proces, aby tu wkleić.

Nie chcę mówić 'a nie mówiłem' ale masz wystarczjąco ramu :P

Ostatnio edytowany przez urbinek (Wczoraj 21:33:45)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)