Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Estou tento alguns problemas c/ o snort, e depois da sua instalação surgiram algumas duvidas.

    1 - Todo "ataque" é logado em tempo real ou demora algum tempo?

    2 - Comparando c/ os logs gerados pelo meu fire (iptables), noto q o snort não loga todos os ataques, isso é normal?

    3 - qual a diferença entre HOME_NET e EXTERNAL_NET e qual delas o snort fareja?

    Desde ja agradeço a atenção.

  2. #2
    bom o snort responde em tempo real
    se o firewall ta logando algo que o snort nao ta pegando ajuste as regras e sensores no snort .

    home_net e sua rede interna external_net a internet
    qual delas monitorar ?
    bom isso depende de vc e da sua rede

    []'s



  3. Respostas:

    1) Ele gera em tempo real.

    2) Perai, pq você acha que não loga todos os ataques? Será que você não está confundido a simples tentativa de entrada em determinada porta com um ataque?

    3) Digamos que em HOME_NET vai ser as faixas de IP que o Snort deve "ignorar" como atacantes, e EXTERNAL é que ele deve considerar como atacantes.

    Falo? :P

  4. Citação Postado originalmente por DropALL
    Respostas:

    1) Ele gera em tempo real.

    2) Perai, pq você acha que não loga todos os ataques? Será que você não está confundido a simples tentativa de entrada em determinada porta com um ataque?

    3) Digamos que em HOME_NET vai ser as faixas de IP que o Snort deve "ignorar" como atacantes, e EXTERNAL é que ele deve considerar como atacantes.

    Falo? :P
    Valeu pela luz.

    Minha duvida agora é saber se meu snort esta ok, pois ele gera algo em torno de 3 a 4 logs por dia, ele esta na internet c/ um ip válido e tenho um fire baseado em iptables q entre alguma regras dropa INPUT, procurei somente manter a porta 22 p/ acesso SSH, e segundo alguns portscanners somente ela esta aberta. Mais ainda sou iniciante q esta meio perdido, mais faço o possivel pra aprender, e a ajuda desse forum eh fundamental.

    Desde ja agradeço a atenção.



  5. Colega,

    Por você(como você mesmo disse) ser iniciante não sugiro deixar a SSH aberta, já que implica em muito na sua segurança. Mas se você for precisar MESMO, faça algumas mudanças no SSHD do seu servidor, como:
    1) Mudar a porta de resposta do SSH, inves de 22, mude para alguma porta alta aleatoria (essa já evita 95% dos force brutes, e se fizerem scan de portas teu snort loga antes e bloqueia caso vc tenha o guardian configurado direitinho)...
    2) Configure no seu iptables, para que permita entrada nessa porta, apenas as faixas 200.0.0.0/8 e 201.0.0.0/8 que são faixas dentro do Brasil, se você não loga do japão nao precisa ter outras faixas...
    3) Configure para que o "root" não possa logar direto.
    4) Crie um usuario para que ele sim possa logar via ssh e então entrar como root (allowusers e su), com nome de login aleatorio, e senha forte (minusculas, maiusculas, numeros, caracteres especiais e acima de 10 digitos)

    Com mais paranoia pode-se:
    1) Incrementar a segurança do seu servidor com sistemas tipo Tripwire, AIDE ou até mesmo LIDS....
    2) E criar jaulas chroot para casos especificos :P
    3) Enviar e-mails para você a cada login bem ou mal sucedido no seu servidor

    Casos ainda mais extremos de paranoia:
    1) Discagem para seu celular com mensagem telefonica de aviso de login em tempo real(não é mensagem sms, é discado mesmo) :P

    6)

    ehehhe






Tópicos Similares

  1. Duvidas sobre uso do Splitter e Gpon
    Por felixhmakowski no fórum Redes
    Respostas: 8
    Último Post: 21-10-2015, 17:05
  2. Duvida sobre Mikrotik - uso do "!"
    Por eneolliver no fórum Redes
    Respostas: 6
    Último Post: 28-10-2011, 10:39
  3. DUVIDA no uso do teamwier na rede wireless
    Por skaphynton no fórum Redes
    Respostas: 4
    Último Post: 20-01-2011, 18:15
  4. Dúvidas de um novato sobre o uso do Mikrotil
    Por seiskneko123 no fórum Redes
    Respostas: 20
    Último Post: 19-11-2008, 08:21
  5. Dúvida link compartilhado para uso do VOIP ?
    Por robsoncb no fórum Servidores de Rede
    Respostas: 13
    Último Post: 29-07-2008, 19:41

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L