snort (вопросы)

[аудиоман]

Вопросы такие.
поставил в самом простом варианте. Пишет алерты в лог.
Сканирую xspider'ом - в логах куча всего.
Сканирую nmap'ом из под виндовс - или 1-2 сообщения или вообще нет.

как поднять чувствительность датчиков снорта?

и еще ламерский вопрос - снорт насколько я понимаю, переводит сетевую в promisc режим.
как посмотреть в каком режиме работают сетевые интерфейсы?

и вопрос три)
Если сетевая работает в неразборчивом режиме..
хм. тогда можно поставить снорт не на сервер, а на рабочую станцию под linux включенную в этот же хаб, что и сервер?
должно же ловить все, что пролетает через хаб?

спасибо

[INF[SZ]]

>Сканирую xspider'ом -в логах куча всего.

Сканируются порты + проверка на наличие уязвимого софта

>Сканирую nmap'ом 1-2 сообщения или вообще нет

nmap сканер портов+ определение используемого сервиса
1-2 сообщения - это я так понимаю информирование о портскане?

так и должно быть, необходиом понимать разницу между сканером портов и сканером безопасности.

[аудиоман]

INF

1-2 сообщения - это я так понимаю информирование о портскане?

да.

nmap сканер портов+ определение используемого сервиса

хм. тогда как защититься от скана портов?
хотя бы свести к минимуму его результативность?

[al.t]

да пусть сканят, жалко чтоли, ты главно отфильтруй фаером нужные порты и все. я могу ошибаться, но мне кажется нет никакого смысла защищаться от сканирования.

[xnu!l]

хм. тогда как защититься от скана портов?

В принципе от скрытового сканирования можно защититься, drop'ая пакеты с соотв-ей некорректной комбинацией tcp флагов, в зависимости от предполагаемой техники сканирования. Например, против FIN-сканирования (nmap -sF) , мы можем применить правило iptables, подобное этому:
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

[INF[SZ]]

-A INPUT -i eth0 -p tcp --match state --state INVALID -j DROP

[аудиоман]

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

-A INPUT -i eth0 -p tcp --match state --state INVALID -j DROP

спасибо! завтра попробуй на работе.

добавить логирование и все будет под контролем.

iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j LOG --log-prefix "alarm_attack!"
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP

наверно, что-то подобное.

опечатка - попробуЮ. правка что-то не сохраняет изменения.

[аудиоман]

Например, против FIN-сканирования (nmap -sF) , мы можем применить правило iptables, подобное этому:

да. правило работает, спасибо.
но как распознать другие типы сканирования?
например дефолтное сканирование nmap'а насколько я знаю - TCP SYN.

[INF[SZ]]

Смотрите в сторону PSAD. Автоматическое распознавание сканов, и блокирование злоумышленника, посылка письма администратору.

http://www.cipherdyne.org/psad/

[аудиоман]

Смотрите в сторону PSAD.

почитал доки, скачал, поставил.
сначала срабатывал почти на все. немного подкрутил параметры. стало лучше, ближе к реальности
на сканнеры безопасности нормально срабатывает (nessus, xspider) на сканнер портов nmap все же не очень (за исключением FIN сканирования. его хорошо определяет)

нужно еще настроить писать НЕ в syslog. Неудобно - весь лог забит..

спасибо за ссылку, PSAD полезная штука

[sunny1983]

Очень надеюсь, что кто-нибудь откликнется на поднятие этой темы. Прошу помощи тех, кто поможет разобраться со Snort в том числе на возмездной основе. Диплом горит

[Bluetooth]

Очень надеюсь, что кто-нибудь откликнется на поднятие этой темы. Прошу помощи тех, кто поможет разобраться со Snort в том числе на возмездной основе. Диплом горит

Чтобы были какие-то шансы, нужно писать конкретно, что нужно. Если на возмездной основе - то лучше запостить в "работу" должным образом оформленое объявление.

[sunny1983]

нужно писать конкретно, что нужно

Тяжело сформулировать что-то конкретное, когда непонятно ничего. Хотя о Snort полно материалов на русском, даже книги есть. Вот сказано, что Snort может работать в трёх режимах: анализатора пакетов, регистратора пакетов и NIDS. Про автоматический запуск с помощью /etc/init.d/snort ничего не сказано. У меня - Debian, присутствует скрипт /etc/init.d/snort, по видимому майнтейнеры Debian расширили возможности Snort, добавив возможность запуска в качестве демона. Но:
1)В каком из трёх режимов Snort запускается в качестве демона, куда нужно лезть чтобы параметры запуска поменять и надо ли их менять вообще?
2)Нужно, чтобы Snort регистрировал в логе все входящие TCP-пакты, пришедшие с интерфейса wlan0, причём лог писался в удобоваримой форме.
3)Нужно чтобы Snort выявлял атаку TCP SYN FLOOD.

[Bizdelnick]

1) А содержимое файла /usr/share/doc/snort/README.Debian.gz и пакета snort-doc Вы не смотрели?

[sunny1983]

Если бы я мог вот так просто взять и разобрать, что там написано, я бы сюда не обращался

[Bluetooth]

Если бы я мог вот так просто взять и разобрать, что там написано, я бы сюда не обращался

Мне кажется, если Вы не можете просто взять и разобрать внятно написанную документацию, то вряд ли Вам тут помогут, даже за деньги.

Самый лучший вариант - перестать страдать фигней и начать вникать в документацию. А на конкретные вопросы здесь ответят.

[sunny1983]

Ладно. Попробуем по порядку.
1) Вопрос запуска оставим - запускается и то хорошо
2) Про логи в книге вроде прочитал, за запись в отдельные логи, syslog или базы данных отвечают модули вывода. Вроде в основном конфиге есть секция 6 «Configure output plugins», там все строки закоментированы кроме:

Код: Выделить всё

output log_tcpdump: tcpdump.log

Но есть одно но: логи tcpdump.log - двоичные, а мне нужны текстовые. Откуда взялись логи логи в книге вроде alert, если про них опции output нет?
3)Про атаку попозже, сначала с логами разобраться бы

[Bluetooth]

2) Про логи в книге вроде прочитал, за запись в отдельные логи, syslog или базы данных отвечают модули вывода. Вроде в основном конфиге есть секция 6 «Configure output plugins», там все строки закоментированы кроме:

Код: Выделить всё

output log_tcpdump: tcpdump.log

Но есть одно но: логи tcpdump.log - двоичные, а мне нужны текстовые. Откуда взялись логи логи в книге вроде alert, если про них опции output нет?

Ну так раскомментируйте те, которые Вам нужны, раз tcpdump не подходит. И кто сказал, что tcpdump - бинарный? Насколько я могу догадываться, этот модуль выводит информацию в стиле утилиты tcpdump. А это никак не бинарный формат.

[sunny1983]

потому что при открытии лога vimом показываются крякозябры

[sunny1983]

С отчётом я разрбрался, настроил логирование событий в MySQL. При написании скрипта, анализирующего отчёт легче сделать чтобы выборка велась из MySQL, нежели из текстового или двоичного файла. Но вот одна беда, в отчёт пишутся только сведения о ICMP-пакетах, а хотелось бы чтобы о всех, особенно интересует TCP-трафик. Как сделать, чтобы Snort писал в отчёт сведения обо всех пакетах?