testar o snort snort

Ola pessoal

instalei o snort no meu gateway e tenho algumas duvidas...

primeiro onde eu encontro atualizações de rules??

fui no snort.org, me cadastrei e o maximo que consegui foi baixar um arquivo que contem arquivos modo texto, com tipos de vulnerabilidades, correções, etc...

mas eu quero as rules!!

e também, ele gera muitos alertas que acredito eu serem desnecessários, por exemplo aquele http inspect... que é um alerta criado por um dos preprocessors, nesses preprocessors eu não mexi nada, deixei default...
eu posso bloquear esses acessos?
como? se a opçao de resetar (resp:rst_all,icmp_all) só é aplicada nos arquivos rules e nao nos preprocessors? obs: eu criei uma var $RESETAR com essa opção.
ou esses acessos são normais?
se são normais então eu devo comentar esse preprocessor pra nao me encher o log com informações desnecessarias?
estou bem desorientado...

essa var $RESETAR eu a adicionei em todas as regras...

até ai tudo bem, mas eu peguei um programinha vagabundo de brute force, o unsecury, e ele passa aqui normalmente e o snort nem gerqa log!! fico louco com isso.

na minha Home_net eu coloquei o meu ip valido e na external_net deixei any.

quando executo ele coloco a opção -i eth1 que é a conexão de internet.

ele roda legal, pq por exemplo eu fiz uma regra chamada teste.rules e fiz assim:
alert tcp $EXTERNAL_NET any -> HOME_NET 22 (msg:"bloqueado";$RESETAR

e assim ninguem mais entra aqui na 22 e ele gera o log certinho...

entao ele nao bloqueou meu programinha de brute force pq eu nao tenho uma regra que se enquadre nesse ataque??

mas esse programinha é bem simples e antigo!!! e se eu nao tenho uma regra que bloqueie nem isso então meu ids é uma merda!!!

alguém saberia me dizer algum programa que o snort barre mesmo? com suas rules default...

#@$¨%@#%@#$%
me ajudem please....vou ser despedido...

um abraço a todos...
Fernando.

[Kablu]

Olá Amigo,

Procure usar o SNORT + GUARDIAN

No underlinux aqui tem um artigo desses, ele bloqueia no iptables o ip de quem está tentando acessar por exemplo um portscan...

no preprocessor vc redireciona o log pra o log do guardian... o guardian analiza esse log e roda um arquivo.sh que bloqueia essa conexão... vc pode alterar esse arquivo que bloqueia e fazer qq coisa com o ip do individuo que esta tentando entrar.


Pra atualizar as regras entre em http://www.snort.org/rules/

Do lado direito vai ter uma imagem bem grande DOWNLOAD RULES.
Essas são as últimas!


Abraço :good:

[barretozol]

Olá Amigo,

Procure usar o SNORT + GUARDIAN

No underlinux aqui tem um artigo desses, ele bloqueia no iptables o ip de quem está tentando acessar por exemplo um portscan...

no preprocessor vc redireciona o log pra o log do guardian... o guardian analiza esse log e roda um arquivo.sh que bloqueia essa conexão... vc pode alterar esse arquivo que bloqueia e fazer qq coisa com o ip do individuo que esta tentando entrar.


Pra atualizar as regras entre em http://www.snort.org/rules/

Do lado direito vai ter uma imagem bem grande DOWNLOAD RULES.
Essas são as últimas!


Abraço :good:

EU FUI NO SNORT.ORG, NESTE LINK , MAS FAÇO O DOWNLOAD E VEM UM MONTE DE ARQUIVOS .TXT, o que faço com esses txt, nesses arquivos tem apenas informações de vulnerabilidades, nao tem as regras para aplicar nas rules.. Ou estou enganado?

obrigado,

[Kablu]

Tente baixar esse link

http://www.snort.org/pub-bin/downloa...CURRENT.tar.gz

Vc precisa ser registrado pra baixar... mas esse é free... é só registrar!

Abraço :good:

[barretozol]

Tente baixar esse link

http://www.snort.org/pub-bin/downloa...CURRENT.tar.gz

Vc precisa ser registrado pra baixar... mas esse é free... é só registrar!

Abraço :good:

Legal, comi bronha aqui, quando descompactava o arquivo, via apenas o diretorio doc, com um monte de txt.. nao vi o diretorio rules..

Outra duvida pra abusar.. Essas novas regras, eu acrescento o conteudo delas nas regras atuais, ou apenas substituo os arquivos ? Na verdade para cada rules padrao do snort eu fiz algumas modificacoes nos arquivos conforme minha necessidade.

Qual seria a melhor forma de sempre estar atualizado.

Mais uma pergunta : ONDE encontro ferramentas para testar o meu IDS, quais seriam elas? Conhece algo..

Voce ja mexeu com o metodo do Snort de centralizar o IDs e montar agentes sensores em clientes locais ou externos ? Quero mexer nisso nesse final de semana.. Ta Afim?

Obrigado pelas dicas
abs
marcelo

[Kablu]

Acho que essas regras ai substituem suas regras atuais.

Bom eu acho que atualizar de vez enquando é bom... mas ficar atualizando isso é segurança paranóica hehehehehe

Acho que uma vez bem configurado seu firewall com um bom snort bem configurado, não tem que ficar mexendo muito não... é claro que sempre tem que estar atualizadinho... mas.... a segurança ja vai estar show...

no meu caso coloquei um mega firewall e snort com guardiam que bloqueia o ip de qualquer um que de portscan na maquina...
ja to assim a um bom tempo e não tive mais problemas com invasão...

isso vale dizer também que é muito bom recompilar o kernel, trocar o numero da versão dele e esconder também a versao do apache e dos outros programinhas do server... isso amplia e como a segurança de sua maquina.

Agora pra testar bem legal... num adianta usar ferramentinhas pré compiladas... tem que ser na mão mesmo hehehehe simulando as situações.

Bom... qualquer dúvida que eu tenha conhecimento to aqui!!!

Abraço :good:

[barretozol]

Legal, obrigado pelas dicas,

Me diz : como eu mudo as versoes dos aplicativos servers aqui ? gostei da ideia...

E quanto a simulacao de invasao, fazer na mao eu nao sei, conhece algum tuto, ou algum caminho ....

valeu as dicas
brigadao

[Kablu]

Quais são os aplicativos que vc usa ai?

Por exemplo... no apache vc troca o parametro do httpd.conf

ServerToken OS

pra

ServerToken Prod

Ele num mostra mais a versão.


A maioria dos outros se vc tiver um bom firewall num aparece mais as versoes...

pra vc testar use o nmap ele te mostra os programas que tem na maquina e suas versões.... quando nao aparecer mais as versões vc ta um pouco mais protegido

nmap -Sv IP

se for local

nmap -Sv localhost


Teste ai e me diga

Abraço :good:

[barretozol]

fiz :
nmap -Sv meuipfixo
retornou
Failed to resolve/decode supposed IPV4 source address v. Note tha if you are using ipv6, the -6 argument must come before -S

hehe

[Kablu]

Hehehehe

foi mal amigo!!

é

-sV

hehehe

abraço :good:

[barretozol]

hehe, vamos la, segue o que aparece, colocando ip fixo do local, ip local, ou mesmo de um cliente externo passando aqui..

Starting nmap 3.70 - Note : Host seems down. If it is really up, but blocking out ping probes, try -PO Nmap run completed -- 1 IP address (0 hosts up) scanned in 3.049 seconds

foi isso que deu...

[Kablu]

Eh seu snort ta fazendo o trabalho dele... ou o seu firewall... esta bloqueando pings externos... ou requests

[barretozol]

detalhe : desabilitei as regras do firewall (iptables), e o snort nao esta ativo, justamente para os testes...
Agora fiz outro teste, fui num cliente externo e fiz o nmap de la pro meu ip fixo...

ta parado, nao responde nada...

Sabe o q pode ser?

abs
irmao

[Kablu]

Pelo erro que apareceu:

Código :

Failed to resolve/decode supposed IPV4 source address v. Note tha if you are using ipv6, the -6 argument must come before -S

Parece que ele não está conseguinto rotear até seu ip....

tente colocar localhost no lugar e veja o que aparece.

Abraço :good:

[barretozol]

depois de muito tempo deu certo, apareceu os servicos e um monte de porta aberta...
Porem sobre versoes apenas o squid mostrou...

respondendo sua pergunta bem antes :-
vou ter nesse server : quase tudo :
DNS, web, email, falta de recurso eh dificil, só falta os patroes pedir um vmware com windown server nele mesmo.. hehe

[Kablu]

ehhehehehaehhua


qual distro vc ta usando?

[barretozol]

FEDORA 3