Forum Debian Users Gang

tripoli1 napisał(-a):

Na początek zainstaluj sobie snorta bez bazy mysql-a.

Dzięki. Zainstalowałem i jako sniffer chodzi znakomicie.
Tryb IDS. Po zmianie w snort.conf wpisów do

var HOME_NET IP

i ustawianiu interfejsu IP jako 192.168.100.100/24
lub cały zakres 192.168.100.0/24
i następnie uruchamianie Snorta powoduje błąd

 #snort -c snort.conf
Running in IDS mode

Initializing Network Interface eth1

        --== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth1
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file snort.conf

+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
ERROR: Unable to open rules file: snort.conf or ./snort.conf
Fatal Error, Quitting..

Uwaga. Faktycznie adres interfejsu jest stały.
Kolejna sprawa regułki z repo Debiana są dość stare pewno trzeba ściągnąć nowe i po prostu rozpakować i skopiować?
Pozdrowienia

ba10 napisał(-a):

Spróbuj :

Kod:

#snort -c /etc/snort/snort.conf

Dzięki działa świetnie!
Program jest OK. staram się go dobrze przetestować i poznać. Natknąłem się na następujące problemy:
1. zgodnie z instrukcjami do których dotarłem, a przejrzałem ich mnóstwo powinna istnieć możliwość uaktualnienia reguł (bez rejestracji) ze strony Snorta, ale niestety nie udało mi się tego dokonać.
Czy na dzień dzisiejszy pobieranie reguł jest możliwe tylko po rejestracji? Zainstalowałem co prawda skrypt Oinkmaster ale chciałbym skorzystać z niego później, po poznaniu Snorta.
2. zainstalowałem Snorta w wersji 2.3.3 na Etchu  kernel 2.6.18, czy aktualność reguł jest taka sama jak w Snorcie np.:2.7? pewno tak.
3. program używany jest na desktopie i nie zauważyłem, aby spowalniał system, ale pewno z części reguł w takiej konfiguracji można spokojnie zrezygnować, jakie wyłaczyć?
4. Program testuję krótko i dziś gdy przeglądałem logi zauważyłem, że zarejestrował zdarzenia oraz wywołał alerty. Natomiast skanowanie jakie wykonałem nmapem przy różnych opcjach nie zostało zarejestrowane, ale i nmap nie rozpoznał systemu wszystkie skany  przyniosły wynik negatywny, pewno przez to, że nie wyłączyłem firewalli.
5. logi mam zarejestrowane jako pliki tcpdump.log alerty jako alert czym najlepiej je prosto i szybko przeglądać? w tej chwili są niewielkie.

Będę wdzięczny za praktyczne porady lub skierowanie na wałściwe źródła, chociaz nie ukrywam, że posiadam już dużo literatury.

Pozdrowienia

ba10
dziękuję za  cenne rady. Powoli program poznaję, mam też dobrą książkę z gotowymi do adaptacji regułkami i sposobami testowania Snorta. Na tyle mi sie podoba, że postanowiłem zainstalować na laptopie z nowym systemem Debian GNU/Linux  Lenny z jądrem 2.6.24, ale niestety napotkałem problemy.

Proces przebiegał następująco:
Instalację przeprowadziłem z płyty netinstall, doinstalowałem X-y, środowisko graficzne, ulubione pakiety i jako przedostatni program Snort. Podczas instalacji dokonuję wstępnej konfiguracji podałem m.in. dwa adresy 1. wifi w formie 192.168.1.50 i 2. ethernet 192.168.1.55, nie podałem maski. konfigurację przeprowadziłem podobnie tak jak wcześniej instalowałem na Etchu (poza tymi adresami IP).
Program uruchomił się w oknie terminala, poczekałem trochę i wyłączyłem go  z pomocą ctr+c. Wyświetliła się statystyka gdzie zobaczyłem przetworzone dane i wersję Snorta 2.7, a następnie uruchomiłem instalację przedostatniego pakietu Wireshark i wtedy uruchomił się w oknie terminala Snort - wyłączyłem go pnownie ctrl+c, zobaczyłem, że Wireshark zainstalował się, a wtem ponownie w oknie terminala pojawił się Snort. Spróbowałem go wyłączać ale to mi sie nie udało. Wpisałem 'reboot' i laptop zrestartował się.
Niestety ponowne uruchamianie systemu nie powiodło się stanęło na uruchamianiu preprocesorów Snorta, nie mogłem wejść na inne konsole ekran nie przyjmował poleceń i pozostał mi twardy reset. Co też uczyniłem. Ponowna próba uruchomienia i to samo.

Aby się nie stresować i nie męczyć przeinstalowałem system i w tej chwili mam 'czysty' tzn. zainstalowane preferowane oprogramowanie bez Snorta, ale aby to doświadczenie przyniosło korzyść mam pytanie do doświadczonych użytkowników gdzie popełniłem błąd czy też są to błędy softu?
1. czy miało na to wpływ, że nie skonfigurowałem  wcześniej wifi i nie miałem podniesionego interfejsu?
2. wersja Snorta dla Lennego to 2.7 a jak zerknąłem w specyfikację jest to wersja alfa.
3 czy należy podać oprócz IP maskę sieci a może tylko zakres sieci i maskę?
4 jak wymusić zainstalowanie stabilnej wersji Snorta

Będę wdzieczny za sugestie, jak bezproblemowo zainstalować Snorta najlepiej stabilną wersję na Lennym.

pozdrowienia

ba10 napisał(-a):

Co to za książeczka ? Możesz zamieścic link/tytuł jej ?

"101 zabezpieczeń przed atakami w sieci komputerowej" autorzy M. Szmit, M. Gusta i M. Tomaszewski wydawca Helion 2005 rok. Do książki dołączona jest płytka z Knoppixem 3.4.
Jest napisana prostym językiem i porusza bardzo dużo spraw związanych z bezpieczeństwem opierając wyjaśnienia na konkretnych przykładach.

Dziwny to problem Ciebie spotkał, .....

też jestem zaskoczony. Pewno spróbuję zainstalować Snorta po instalacji całego oprogramowania.
Wydaje mi się, że jedynym moim odstępstwem było wskazania niepodniesionego interfejsu wifi, a szczególnie nie zainstalowanie pakietów do karty i jej nie uruchomienie, oraz być może wpływ wersji  alfa Snorta.

Pozdrowienia

ba10 napisał(-a):

AAa to czytałem :D Myślałem, że coś konkretnego na temat snorta w Polsce wreszcie wyszło.

Ciężko z dobrą literaturą. Materiały są rozproszone i fragmentaryczne, może na jakiś kursach podają usystematyzowaną lekturę.

Ale mam jeszcze jedno pytanie. Może wiesz jak najlepiej odsiać i co szukać w logach, bo gdy przejrzałem Wiresharkiem, które wygenerował Snort, to nie znalazłem, moim zdaniem, podejrzanych zdarzeń, a przecież bez powodu nie zostały zapisane.

Pozdrowienia

ba10 napisał(-a):

A i widzisz na tym polega cała magia ;)  , by wiedziec co ma sie ustaione w regułach i umieć odsiać fałszywe lub mało znaczące alerty od tych poważnych. Z czasem podobno to przychodzi :D

Dzięki, ale jak będziesz miał sugestie to daj znać.

Pozdrowienia