#  > Geral >  > Segurança >  >  IDS - auxilio

## spectrum

Bom dia Pessoal!
Depois de muito tempo sem aparecer, Spectrum da as caras novamente...  :Big Grin:  
Mas seguinte... eu queria monta um sistema IDS poderoso, e gostaria de aber por onde começar! tipo uns how to uns manuerzão..... tudo sobre isso!
Tipo disso eu naum manjo nada e quero implementar em meus servidores! e por isso a velha frase "desde já agradeço"  :Big Grin:  
Valeus... e ai pessoar como vão?
Abraços 
[]'s
Spectrum
:toim:

----------


## ruyneto

Cara vc ja deu uma olhada na pagina do snort?? la tem o básico de como implementar ele, para coisas mais avançadas do snort o que eu recomendo eh o livro deles que trata bem sobre o assunto e é bastante extenso as dicas.

Já aproveitando o topico tb to montando um server ids e gostaria de saber qual eh o melhor para ids, eu sempre achei mais coisas sobre o snort, mas já vi que tem o portscan e o tripwire(se não me engano), e tb se montando num servidor em produção esses ids podem roubar mto recurso de maquina, sendo indicado por em um outro servidor.

Vlw ae e falows

PS: desculpe por compartilhar o topico, mas acho que tem interesse e duvidas em comum.

----------


## spectrum

Valews
Mais sim acho que as duvidas sao comuns!!




> Cara vc ja deu uma olhada na pagina do snort?? la tem o básico de como implementar ele, para coisas mais avançadas do snort o que eu recomendo eh o livro deles que trata bem sobre o assunto e é bastante extenso as dicas.
> 
> Já aproveitando o topico tb to montando um server ids e gostaria de saber qual eh o melhor para ids, eu sempre achei mais coisas sobre o snort, mas já vi que tem o portscan e o tripwire(se não me engano), e tb se montando num servidor em produção esses ids podem roubar mto recurso de maquina, sendo indicado por em um outro servidor.
> 
> Vlw ae e falows
> 
> PS: desculpe por compartilhar o topico, mas acho que tem interesse e duvidas em comum.

----------


## gmlinux

O termo IDS é mais amplo, temos de rede (NIDS) e local (LIDS).

----------


## 1c3m4n

soh um detalhe LIDS nao quer dizer que é local, LIDS eh Linux Intrusion Detection System

Bom spectrum acho que o melhor pra começar mesmo é o snort, tem ateh alguns tuto dele aqui no site.
Depois que vc pegar um pouco de pratica tem o NIDS,LIDS,PaX,etc..

----------


## gmlinux

Existe um patch para kernel linux chamado LIDS, que é amplo, cobre tanto Network como local intrusion detect.
Network intrusion detect system: NIDS
Local intrusion detect system: LIDS

----------


## 1c3m4n

LIDS nao vem de local! eh de Linux

www.lids.org
"_ The Linux Intrusion Detection System (LIDS) is a kernel patch and admin tools which enhances the kernel's security by implementing Mandatory Access Control (MAC)_"

mas ta certo que abrange seguranca local e remota, mas LIDS nao eh Local Intrusion Detection System

----------


## gmlinux

Você esta associando LIDS do patch, olha esta pesquisa:
http://www.google.com.br/search?hl=p...esquisar&meta=
terceiro link, nem precisa entrar

----------


## gmlinux

> Existe um patch para kernel linux chamado LIDS, que é amplo, cobre tanto Network como local intrusion detect.
> Network intrusion detect system: NIDS
> Local intrusion detect system: LIDS


Só troca o detect por detection...

----------


## spectrum

Valews galera ... ja coloquei para rodar aqui
seguinte na hora que dou 

```
guardian.pl -c /etc/guardian.conf
```

 da uma mensagem assim:


```
os shows linux
Warning! HostIpAddr is undefined! Attempting to guess..
Couldn't figure out the ip adderess
```

 


> Isso é um erro? (pois no artigo que peguei dava uma frase diferente!
> Se for erro como devo proceder????
> Grato
> []'s 
> 
> Spectrum
> 
> 
> 
> ...

----------


## spectrum

tem alguma maneira de eu ver os logs do snort via browser?  :Wink:

----------


## 1c3m4n

> Você esta associando LIDS do patch, olha esta pesquisa:
> http://www.google.com.br/search?hl=p...esquisar&meta=
> terceiro link, nem precisa entrar


Eh gmlinux acontece que eu nao disse que LIDS nao eh Local, mas LIDS OFICIALMENTE eh de Linux Intrusion Detection System.... ele ser local digamos que é um subtopico..


Spectrum tem algumas ferramentas que geram os logs pra html sim, lah no site oficial tem pra download

----------


## spectrum

Valeu.... mas e aquela men.... esta correta????





> Postado originalmente por gmlinux
> 
> Você esta associando LIDS do patch, olha esta pesquisa:
> http://www.google.com.br/search?hl=p...esquisar&meta=
> terceiro link, nem precisa entrar
> 
> 
> Eh gmlinux acontece que eu nao disse que LIDS nao eh Local, mas LIDS OFICIALMENTE eh de Linux Intrusion Detection System.... ele ser local digamos que é um subtopico..
> 
> ...

----------


## 1c3m4n

ta faltando vc setar o IP na conf do guardian
da uma olhada aki que pode te ajudar: https://under-linux.org/forum8-26887.html

PS: cara diminui um poko essa img da tua assinatura, ateh em 1024 ela ocupa mto espaço

----------


## ruyneto

> tem alguma maneira de eu ver os logs do snort via browser?


Cara existem diversas ferramentas, mas todas o snort tem de logar em base de dados, se quiser algo mais simples recomendo o snort report, se quiser algo mais poderoso uma boa combinação eh base + snortcenter, que faz a apresentação grafica do snort e tb permite controle das funçoes do snort remotamente, supor um servidor controla varios snorts.


Falows

----------


## gmlinux

> Postado originalmente por gmlinux
> 
> Você esta associando LIDS do patch, olha esta pesquisa:
> http://www.google.com.br/search?hl=p...esquisar&meta=
> terceiro link, nem precisa entrar
> 
> 
> Eh gmlinux acontece que eu nao disse que LIDS nao eh Local, mas LIDS OFICIALMENTE eh de Linux Intrusion Detection System.... ele ser local digamos que é um subtopico..
> 
> ...


Mais em nenhum momento eu falei do LIDS como patch no meu primeiro post, eu usei o termo LIDS e NIDS como siglas do conceito de intrusão local e remota, ainda mencionei claramente que havia um patch de kernel chamado LIDS e que era mais abrangente que o conceito de local IDS, possuindo inclusive recursos de network IDS.
Se estivesse falando do patch, concordaria com o significado de sua sigla, mais estava falando do conceito.
Olha esta pesquisa, agora usando o tripwire, para evitar alguma confusão:
http://www.google.com.br/search?hl=p...esquisar&meta=

----------


## spectrum

Galera valew
achei o problema
[]'s Spectrum :toim: :toim:

----------


## 1c3m4n

gmlinux acho que nao estamos falando a mesma lingua

Termo OFICIAL para LIDS: Linux Intrusion Detection System

local instrusion, eb se encaixa na sigla LIDS,mas o OFICIAL eh para linux e nao local

do jeito que vc ta falando de LIDS da a impressao que o termo oficial eh para local e nao é... 
exemplificando seria mesma coisa que eu ficar brigando que NIDS é neural instrusion detection system... sendo que o oficial pra NIDS eh Network...

entendeu agora?

----------


## gmlinux

Esta discussão não vai levar a nada, fica com sua opinião que fico com a minha.
Até porque eu não falei qual é o significado oficial da sigla LIDS, somente a usei em um contexto em que muitos outros usam... como demontrei em diversos links.
Tipo, em um certo contexto, é aceitável considerar DNS como Domain Name Server, mesmo que a sigla signifique Domain Name Service.

----------


## 1c3m4n

Exatamente  :Smile: 
É isso que eu tava tentando explicar, não falei que ta errado chamar local instrusion blablabla de LIDS, so to falando que oficialmente LIDS eh de Linux

----------


## gmlinux

Mais então volta ao inicio e leia quando eu disse que você confundiu o uso que eu fazia ao significado do termo com o da sigla LIDS.
Este tempo todo eu estava tentando mostrar que não havia um sigificado somente ao termo LIDS e que até mesmo em documentações do próprio faziam referência ao outro significado, em seguida mostrei que isto ocorria também com o tripwire.
Enquanto você postou que eu estava confundindo o termo, eu procurei mostrar que não, que eu conhecia o significado do termo, tanto como referência ao patch como com referência ao conceito.
Acho que talvez tenha lido meus posts rápido demais e/ou subestimado o que estava escrito...

----------


## 1c3m4n

> Existe um patch para kernel linux chamado LIDS, que é amplo, cobre tanto Network como local intrusion detect.
> Network intrusion detect system: NIDS
> Local intrusion detect system: LIDS


vc ta falando desse post aki?
Eu vi que vc falou do LIDS (patch) certinho, mas vc aki vc ta dando como foco principal LOCAL.

Bom mas nao vai muda po%$ nenhuma agente discutir mais... acho que agora ta claro pros dois neh?

----------


## gmlinux

> Postado originalmente por gmlinux
> 
> Existe um patch para kernel linux chamado LIDS, que é amplo, cobre tanto Network como local intrusion detect.
> Network intrusion detect system: NIDS
> Local intrusion detect system: LIDS
> 
> 
> vc ta falando desse post aki?
> Eu vi que vc falou do LIDS (patch) certinho, mas vc aki vc ta dando como foco principal LOCAL.
> ...


Exatamente, observe que na primeira linha eu deixo claro que existe um patch com este nome, LIDS, que é até mais abrangente que um LIDS como conceito, incluindo funcionalidades de NIDS também.
Nas duas linhas seguintes, mencionei o significado que eu dei as siglas quando as mencionei.
Depois que o amigo que teve a dúvida definisse sua necessidade, ai eu iria sugerir um LIDS como o tripwire (até mesmo um rpm -V pode ser útil em alguns ambientes), se fosse o caso.
Eu acho que o LIDS patch muito avançado para a maioria das necessidades mortais, e mais prevenção que detecção.

----------


## 1c3m4n

> Eu acho que o LIDS patch muito avançado para a maioria das necessidades mortais, e mais prevenção que detecção.


hahahhaahha agora sou obrigado a concordar em gênero, numero e grau com vc, se não souber oq que ta fazendo com LIDS ele não vai deixar a máquina nem bootar

----------


## Jim

fala Spectro man... pra visualizar os logs tem o SnortCenter... dá uma campeada nele...

----------


## gmlinux

Já configurei LIDS patch 2 vezes em máquinas de laboratório, nunca coloquei um em produção, achei que a complexidade não justificava (custo benefício, o cliente não estava disposto a pagar...).
Meu objeto de estudo agora esta se concentrando em SELinux, mais devido a diversas prioridades (faculdade e prioridades do trabalho) esta meio devagar...

----------

