Erro no Snort (+Guardian)

[natascha]

Pessoal, estou usando aqui Conectiva 10 em um servidor Firewall. O Iptables e o Squid estão funcionando Ok. Resolvi colocar Snort, para ter mais segurança. Pesquisando na Internet, achei como configurá-lo juntamente com o Guardian. Fiz tudo o que dizia no tutorial e resolvi testar o Snort, se estava tudo ok. Ao fazer isso, deu a seguinte mensagem:

FATAL ERROR: Unable to open rules file: etc/snort.conf or /etc//etc/snort/snort.conf

Mas acontece que o Path das regras parece estar ok....está em um diretório chamado Rules, dentro da pasta Snort (onde está o snort.conf). Por isso, coloquei o Path assim:

../rules

alguém sabe pq ele não pôde abrir as regras? ou será que é algum erro de configuração, ou com o Snort ou com o Guardian?

Grata!

[natascha]

O snort estava dentro de /etc/snort, e não /etc. Agora está ok.

Porém, acusa outro erro...:

ERROR: Invalide file name for IIS Unicode Map File

...

[natascha]

O problema era o mesmo, diretório errado. Agora o Snort inicia ok.


Queria saber se a única maneira de saber se está funcionando ok é quando há invasão ou tem como ou testar....

[ruyneto]

Se tem regras de detecção de portscan ou msn pode usar eles pra testar se o snort ta pegando e o guardian bloqueando usando eles.

falows

[mtec]

O problema era o mesmo, diretório errado. Agora o Snort inicia ok.


Queria saber se a única maneira de saber se está funcionando ok é quando há invasão ou tem como ou testar....

Só para constar:

Não aconselho levantar um IDS em uma interface com IP. O seu firewall tem função de GW de borda?? Se sim, aconselho vc a colocar um outro servidor (somente IDS), entre o firewall e o modem/router (utilizando um hub e não um switch), com a interface em modo promiscuo. Assim não será detectado externamente um IDS em sua rede.

OBS: A necessidade de um hub, é que este não separa dominio de colisões !!!

até... :-o :-o :-o

[1c3m4n]

usa o nessus pra testar o snort. O banco de dados de ataques do nessus vai ativar vaaaaaaaaaarias regras no snort