Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. bom pessoal, vou tentar deixa o mas claro possivel minhas explicação.


    no /var/log/portscan.log

    ele me mostra

    Apr 6 11:36:31 200.218.23.251:58035 -> 207.46.110.29:80 SYN ******S*
    Apr 6 11:36:33 200.218.23.251:58036 -> 64.4.43.250:80 SYN ******S*
    Apr 6 11:36:34 200.218.23.251:58037 -> 207.46.110.16:80 SYN ******S*
    Apr 6 11:36:34 200.218.23.251:58038 -> 207.68.178.16:80 SYN ******S*
    Apr 6 11:36:34 200.218.23.251:58039 -> 65.54.194.118:80 SYN ******S*
    Apr 6 11:36:34 200.218.23.251:58040 -> 207.68.178.238:80 SYN ******S*
    Apr 6 11:36:35 200.218.23.251:58041 -> 207.68.177.125:80 SYN ******S*
    Apr 6 11:36:35 200.218.23.251:58042 -> 207.46.110.13:80 SYN ******S*

    200.218.23.251 eh velox =ppp0

    bom, pensei que ele só tava analizando os pacotes que sai da minha rede, então fiz um teste, de outro servidor dei um nmap de um servidor de fora para esse meu ip da velox 200.218.23.251, no postscan.log na hora ele acusou o ip desse, o problema eh que no postscan.log fica aparcendo de minuto e minuto os os pacotes que sai da minha rede, ai eu pergunto, Teria como definir, para o snort só analizar os pacotes q entram? tenho que mexe em alguma .rules? ou eh no snort.conf? alguém sabe?

  2. ja procurei no google, e pagina do snort e nada :/



  3. #3
    charadaa
    dentro do arquivo snort.conf existe uma linha que diz sobre preprocessor do portscan, coloque-a aqui no forum para que possa ver.


    abraços

  4. esse eh um pedaço dum artigo meu sobre snort, deve ajudar:

    Código :
    Ajustes no SNORT
     
    Antes de ajustarmos o guardian precisamos configurar o SNORT corretamente, pois sem ele, o GUARDIAN não é nada.
    # Por padrão o SNORT cria 2 arquivos de log, são eles: /var/log/snort/alert
    # /var/log/snort/scan
     
    Esses logs não são suficientes para informar ao GUARDIAN quem deve ser bloqueado, então iremos adicionar um terceiro log, edite o /etc/snort/snort.conf e procure pela linha:
     
    #preprocessor portscan: $HOME_NET 4 3 portscan.log
     
    agora descomente a linha retirando o "#", altere a variável $HOME_NET para $EXTERNAL_NET, a linha deve ficar assim:
     
    preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
     
    O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
    Agora para diminuir um pouco mais a quantidade de alertas falsos procure pela linha:
     
    #preprocessor portscan-ignorehosts: 0.0.0.0
     
    Novamente descomente a linha de altere o 0.0.0.0 pelo endereço IP do seu servidor
    Terminados os ajustes deve-se reinicar o snort.



  5. Citação Postado originalmente por 1c3_m4n
    esse eh um pedaço dum artigo meu sobre snort, deve ajudar:

    Código :
    Ajustes no SNORT
     
    Antes de ajustarmos o guardian precisamos configurar o SNORT corretamente, pois sem ele, o GUARDIAN não é nada.
    # Por padrão o SNORT cria 2 arquivos de log, são eles: /var/log/snort/alert
    # /var/log/snort/scan
     
    Esses logs não são suficientes para informar ao GUARDIAN quem deve ser bloqueado, então iremos adicionar um terceiro log, edite o /etc/snort/snort.conf e procure pela linha:
     
    #preprocessor portscan: $HOME_NET 4 3 portscan.log
     
    agora descomente a linha retirando o "#", altere a variável $HOME_NET para $EXTERNAL_NET, a linha deve ficar assim:
     
    preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
     
    O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
    Agora para diminuir um pouco mais a quantidade de alertas falsos procure pela linha:
     
    #preprocessor portscan-ignorehosts: 0.0.0.0
     
    Novamente descomente a linha de altere o 0.0.0.0 pelo endereço IP do seu servidor
    Terminados os ajustes deve-se reinicar o snort.
    vlw ice, mas já li esse artigo em um site, mas não deu certo, vou colocar como ta meu conf e aproveito e respodo o charadaaa...

    snort.conf



    var EXTERNAL_NET any

    var HOME_NET 192.168.1.0/24

    preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
    # Set up the external network addresses as well. A good start may be "any"
    var EXTERNAL_NET !$HOME_NET

    preprocessor portscan-ignorehosts: 192.168.1.0/24
    e essa eh a linha q eu starto meu snort
    /usr/sbin/snort -i ppp0 -u snort -g snort -D -c /etc/snort/snort.conf -l /var/log/snort/

    ppp0 eh velox

    vlw pela ajuda de vcs, já tava pensando q ninguem ia responder






Tópicos Similares

  1. SNORT
    Por 1c3m4n no fórum Segurança
    Respostas: 5
    Último Post: 30-01-2003, 15:40
  2. Mea judem pelo amor de Deus ninguém conseguiu me ajudar aind
    Por _Luigi_ no fórum Servidores de Rede
    Respostas: 3
    Último Post: 17-01-2003, 16:24
  3. Não consigo usar o SNORT
    Por Anxus no fórum Segurança
    Respostas: 1
    Último Post: 08-01-2003, 08:03
  4. Instalação e Configuração do Snort
    Por no fórum Segurança
    Respostas: 2
    Último Post: 05-12-2002, 23:23
  5. SNORT
    Por 1c3m4n no fórum Segurança
    Respostas: 3
    Último Post: 02-12-2002, 08:51

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L