snort, ajudar!!!

[Brenno]

bom pessoal, vou tentar deixa o mas claro possivel minhas explicação.


no /var/log/portscan.log

ele me mostra

Apr 6 11:36:31 200.218.23.251:58035 -> 207.46.110.29:80 SYN ******S*
Apr 6 11:36:33 200.218.23.251:58036 -> 64.4.43.250:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58037 -> 207.46.110.16:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58038 -> 207.68.178.16:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58039 -> 65.54.194.118:80 SYN ******S*
Apr 6 11:36:34 200.218.23.251:58040 -> 207.68.178.238:80 SYN ******S*
Apr 6 11:36:35 200.218.23.251:58041 -> 207.68.177.125:80 SYN ******S*
Apr 6 11:36:35 200.218.23.251:58042 -> 207.46.110.13:80 SYN ******S*

200.218.23.251 eh velox =ppp0

bom, pensei que ele só tava analizando os pacotes que sai da minha rede, então fiz um teste, de outro servidor dei um nmap de um servidor de fora para esse meu ip da velox 200.218.23.251, no postscan.log na hora ele acusou o ip desse, o problema eh que no postscan.log fica aparcendo de minuto e minuto os os pacotes que sai da minha rede, ai eu pergunto, Teria como definir, para o snort só analizar os pacotes q entram? tenho que mexe em alguma .rules? ou eh no snort.conf? alguém sabe?

[Brenno]

ja procurei no google, e pagina do snort e nada :/

[charadaa]

dentro do arquivo snort.conf existe uma linha que diz sobre preprocessor do portscan, coloque-a aqui no forum para que possa ver.


abraços

[1c3m4n]

esse eh um pedaço dum artigo meu sobre snort, deve ajudar:

Código :

Ajustes no SNORT
 
Antes de ajustarmos o guardian precisamos configurar o SNORT corretamente, pois sem ele, o GUARDIAN não é nada.
# Por padrão o SNORT cria 2 arquivos de log, são eles: /var/log/snort/alert
# /var/log/snort/scan
 
Esses logs não são suficientes para informar ao GUARDIAN quem deve ser bloqueado, então iremos adicionar um terceiro log, edite o /etc/snort/snort.conf e procure pela linha:
 
#preprocessor portscan: $HOME_NET 4 3 portscan.log
 
agora descomente a linha retirando o "#", altere a variável $HOME_NET para $EXTERNAL_NET, a linha deve ficar assim:
 
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
 
O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
Agora para diminuir um pouco mais a quantidade de alertas falsos procure pela linha:
 
#preprocessor portscan-ignorehosts: 0.0.0.0
 
Novamente descomente a linha de altere o 0.0.0.0 pelo endereço IP do seu servidor
Terminados os ajustes deve-se reinicar o snort.

[Brenno]

esse eh um pedaço dum artigo meu sobre snort, deve ajudar:

Código :

Ajustes no SNORT
 
Antes de ajustarmos o guardian precisamos configurar o SNORT corretamente, pois sem ele, o GUARDIAN não é nada.
# Por padrão o SNORT cria 2 arquivos de log, são eles: /var/log/snort/alert
# /var/log/snort/scan
 
Esses logs não são suficientes para informar ao GUARDIAN quem deve ser bloqueado, então iremos adicionar um terceiro log, edite o /etc/snort/snort.conf e procure pela linha:
 
#preprocessor portscan: $HOME_NET 4 3 portscan.log
 
agora descomente a linha retirando o "#", altere a variável $HOME_NET para $EXTERNAL_NET, a linha deve ficar assim:
 
preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
 
O número 4 quer dizer a quantidade de portas, o 3 quer dizer quanto tempo, ou seja, se alguem acessar 4 portas seguidas em menos de 3 segundos isso será encarado como um portscan!!!(Altere como achar melhor)
Agora para diminuir um pouco mais a quantidade de alertas falsos procure pela linha:
 
#preprocessor portscan-ignorehosts: 0.0.0.0
 
Novamente descomente a linha de altere o 0.0.0.0 pelo endereço IP do seu servidor
Terminados os ajustes deve-se reinicar o snort.

vlw ice, mas já li esse artigo em um site, mas não deu certo, vou colocar como ta meu conf e aproveito e respodo o charadaaa...

snort.conf

var EXTERNAL_NET any

var HOME_NET 192.168.1.0/24

preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET !$HOME_NET

preprocessor portscan-ignorehosts: 192.168.1.0/24

e essa eh a linha q eu starto meu snort
/usr/sbin/snort -i ppp0 -u snort -g snort -D -c /etc/snort/snort.conf -l /var/log/snort/

ppp0 eh velox

vlw pela ajuda de vcs, já tava pensando q ninguem ia responder

[1c3m4n]

faz tempo q num mexo com o snort mas acho q vc teria que colocar teu ip da ppp0 no ignore tb, se nao ele vai achar q vc ta fazendo portscan

[Brenno]

sera? pq ip ppp0 eh velox, vive mudando :/

[1c3m4n]

nao lembro, mas eu acho que ele tem a opcao de especificar a interface ao inves do ip, ai resolve o problema

[Brenno]

nao lembro, mas eu acho que ele tem a opcao de especificar a interface ao inves do ip, ai resolve o problema

vc tava certo, coloquei o ip e funcuino, agora preciso saber se rola especificar interface, se alguem soube. posta ae por favor

brigadao ice

[Brenno]

no snort.conf tentei criar uma variavel e declar ppp0 nessa variavel e no ignore eu colocar o nome da variavel..

var EXTERNAL_NET any

var velox ppp0

var HOME_NET 192.168.1.0/24

preprocessor portscan: $EXTERNAL_NET 4 3 portscan.log
# Set up the external network addresses as well. A good start may be "any"
var EXTERNAL_NET !$HOME_NET

preprocessor portscan-ignorehosts: 192.168.1.0/24 $velox

quando olhei no log tava o erro

Parsing Rules file /etc/snort/snort.conf
FATAL ERROR: ERROR /etc/snort/snort.conf(56): Couldn't resolve hostname ppp0

então não funcionou, alguém sabe resolver esse meu pro?

[charadaa]

cara inicia o snor assim ó /usr/local/bin/snort -c /etc/snort/snort.conf -D -o -s -A full -i ppp0


basta só alterar o caminho para o seu snort.conf.


abraços

[Brenno]

vlw ice vlw charadaa, eu encontrei outra saida, declarei uma variavel especificando um dominio, esse dominio eu cadastrei no no-ip, agora ta file

[charadaa]

falow Brenno qq coisa tamo ae.


Abraços