Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Ola pessoal

    instalei o snort no meu gateway e tenho algumas duvidas...

    primeiro onde eu encontro atualizações de rules??

    fui no snort.org, me cadastrei e o maximo que consegui foi baixar um arquivo que contem arquivos modo texto, com tipos de vulnerabilidades, correções, etc...

    mas eu quero as rules!!

    e também, ele gera muitos alertas que acredito eu serem desnecessários, por exemplo aquele http inspect... que é um alerta criado por um dos preprocessors, nesses preprocessors eu não mexi nada, deixei default...
    eu posso bloquear esses acessos?
    como? se a opçao de resetar (resp:rst_all,icmp_all) só é aplicada nos arquivos rules e nao nos preprocessors? obs: eu criei uma var $RESETAR com essa opção.
    ou esses acessos são normais?
    se são normais então eu devo comentar esse preprocessor pra nao me encher o log com informações desnecessarias?
    estou bem desorientado...

    essa var $RESETAR eu a adicionei em todas as regras...

    até ai tudo bem, mas eu peguei um programinha vagabundo de brute force, o unsecury, e ele passa aqui normalmente e o snort nem gerqa log!! fico louco com isso.

    na minha Home_net eu coloquei o meu ip valido e na external_net deixei any.

    quando executo ele coloco a opção -i eth1 que é a conexão de internet.

    ele roda legal, pq por exemplo eu fiz uma regra chamada teste.rules e fiz assim:
    alert tcp $EXTERNAL_NET any -> HOME_NET 22 (msg:"bloqueado";$RESETAR

    e assim ninguem mais entra aqui na 22 e ele gera o log certinho...

    entao ele nao bloqueou meu programinha de brute force pq eu nao tenho uma regra que se enquadre nesse ataque??

    mas esse programinha é bem simples e antigo!!! e se eu nao tenho uma regra que bloqueie nem isso então meu ids é uma merda!!!

    alguém saberia me dizer algum programa que o snort barre mesmo? com suas rules default...

    #@$¨%@#%@#$%
    me ajudem please....vou ser despedido...

    um abraço a todos...
    Fernando.

  2. #2
    Kablu
    Olá Amigo,

    Procure usar o SNORT + GUARDIAN

    No underlinux aqui tem um artigo desses, ele bloqueia no iptables o ip de quem está tentando acessar por exemplo um portscan...

    no preprocessor vc redireciona o log pra o log do guardian... o guardian analiza esse log e roda um arquivo.sh que bloqueia essa conexão... vc pode alterar esse arquivo que bloqueia e fazer qq coisa com o ip do individuo que esta tentando entrar.


    Pra atualizar as regras entre em http://www.snort.org/rules/

    Do lado direito vai ter uma imagem bem grande DOWNLOAD RULES.
    Essas são as últimas!


    Abraço :good:



  3. Citação Postado originalmente por Kablu
    Olá Amigo,

    Procure usar o SNORT + GUARDIAN

    No underlinux aqui tem um artigo desses, ele bloqueia no iptables o ip de quem está tentando acessar por exemplo um portscan...

    no preprocessor vc redireciona o log pra o log do guardian... o guardian analiza esse log e roda um arquivo.sh que bloqueia essa conexão... vc pode alterar esse arquivo que bloqueia e fazer qq coisa com o ip do individuo que esta tentando entrar.


    Pra atualizar as regras entre em http://www.snort.org/rules/

    Do lado direito vai ter uma imagem bem grande DOWNLOAD RULES.
    Essas são as últimas!


    Abraço :good:
    EU FUI NO SNORT.ORG, NESTE LINK , MAS FAÇO O DOWNLOAD E VEM UM MONTE DE ARQUIVOS .TXT, o que faço com esses txt, nesses arquivos tem apenas informações de vulnerabilidades, nao tem as regras para aplicar nas rules.. Ou estou enganado?

    obrigado,

  4. #4
    Kablu
    Tente baixar esse link

    http://www.snort.org/pub-bin/downloa...CURRENT.tar.gz

    Vc precisa ser registrado pra baixar... mas esse é free... é só registrar!

    Abraço :good:



  5. Citação Postado originalmente por Kablu
    Tente baixar esse link

    http://www.snort.org/pub-bin/downloa...CURRENT.tar.gz

    Vc precisa ser registrado pra baixar... mas esse é free... é só registrar!

    Abraço :good:
    Legal, comi bronha aqui, quando descompactava o arquivo, via apenas o diretorio doc, com um monte de txt.. nao vi o diretorio rules..

    Outra duvida pra abusar.. Essas novas regras, eu acrescento o conteudo delas nas regras atuais, ou apenas substituo os arquivos ? Na verdade para cada rules padrao do snort eu fiz algumas modificacoes nos arquivos conforme minha necessidade.

    Qual seria a melhor forma de sempre estar atualizado.

    Mais uma pergunta : ONDE encontro ferramentas para testar o meu IDS, quais seriam elas? Conhece algo..

    Voce ja mexeu com o metodo do Snort de centralizar o IDs e montar agentes sensores em clientes locais ou externos ? Quero mexer nisso nesse final de semana.. Ta Afim?

    Obrigado pelas dicas
    abs
    marcelo






Tópicos Similares

  1. Testar snort
    Por no fórum Segurança
    Respostas: 4
    Último Post: 17-07-2003, 16:00
  2. SNORT
    Por 1c3m4n no fórum Segurança
    Respostas: 5
    Último Post: 30-01-2003, 15:40
  3. Não consigo usar o SNORT
    Por Anxus no fórum Segurança
    Respostas: 1
    Último Post: 08-01-2003, 08:03
  4. Instalação e Configuração do Snort
    Por no fórum Segurança
    Respostas: 2
    Último Post: 05-12-2002, 23:23
  5. SNORT
    Por 1c3m4n no fórum Segurança
    Respostas: 3
    Último Post: 02-12-2002, 08:51

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L