Re: Snort - Tutorial
Em 21 de agosto de 2012 11:13, Márcio Erli escreveu: > Alguém pode me indicar um bom tutorial para instalar e configurar o snort. > Estou usando ubuntu server 12.04. > http://www.snort.org/docs -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0phboayqh5p3zy1ukbhtm+ztf1rbdpzmgrdxcyqnzwq...@mail.gmail.com
Snort - Tutorial
Alguém pode me indicar um bom tutorial para instalar e configurar o snort. Estou usando ubuntu server 12.04. -- Grato, Márcio Erli
Re: Snort na Rede - Qual a melhor posição!
Em 13 de maio de 2011 23:14, Fabricio Cannini escreveu: > Em Sexta-feira 13 Maio 2011, às 09:21:48, Fagner Patricio escreveu: >> Olá Pessoal!! >> >> Gostaria de pedir ajuda de vocês para solucionar algumas dúvidas minhas, >> vejam: >> >> Estou estudando a implantação de IDS (Intrusion Detection System) na minha >> rede, particularmente o Snort (http://www.snort.org/) mas gostaria de saber >> em que parte da rede esse tipo de sistema deve ser colocada, imagino que >> ele precisa apenas ter contato com as rede que eu pretendo monitorar, do >> tipo, eu tenho duas redes aqui: LAN e DMZ, então ele deve ter um ponto de >> escuta na LAN e outro na DMZ, está certo isso? acredito que colocar ele >> junto do meu firewall não é bom, também está certo esse pensamento? >> >> Agradeço a todos! > > Qual a melhor posição ? Desculpa, isso é muito pessoal ... > +1 > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: http://lists.debian.org/201105132314.09528.fcann...@gmail.com > > -- "My dear fellow, the truth isn't quite the sort of thing one tells to a nice, sweet, refined girl." Oscar Wilde Gunther Furtado Curitiba - Paraná - Brasil gunfurt...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/banlktikzuqkxdcffkwv1rh1ajzn87cf...@mail.gmail.com
Re: Snort na Rede - Qual a melhor posição!
Em Sexta-feira 13 Maio 2011, às 09:21:48, Fagner Patricio escreveu: > Olá Pessoal!! > > Gostaria de pedir ajuda de vocês para solucionar algumas dúvidas minhas, > vejam: > > Estou estudando a implantação de IDS (Intrusion Detection System) na minha > rede, particularmente o Snort (http://www.snort.org/) mas gostaria de saber > em que parte da rede esse tipo de sistema deve ser colocada, imagino que > ele precisa apenas ter contato com as rede que eu pretendo monitorar, do > tipo, eu tenho duas redes aqui: LAN e DMZ, então ele deve ter um ponto de > escuta na LAN e outro na DMZ, está certo isso? acredito que colocar ele > junto do meu firewall não é bom, também está certo esse pensamento? > > Agradeço a todos! Qual a melhor posição ? Desculpa, isso é muito pessoal ... -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/201105132314.09528.fcann...@gmail.com
Re: Snort na Rede - Qual a melhor posição!
Olá Fabrício, Isso também depende um pouco da estrutura física de sua rede. Caso você possua apenas um switch com vlans, eu diria para deixá-lo em uma porta com espelhamento de todo o tráfego, mas isso também depende pouco da velocidade da sua rede. Também não acho que seja o ideal, mas vejo bastante gente rodando o IDS dentro do próprio firewall. De qualquer forma, o ideal é que ele possa monitorar o tráfego do firewall interno e externo. Abraços 2011/5/13 Fagner Patricio : > Olá Pessoal!! > > Gostaria de pedir ajuda de vocês para solucionar algumas dúvidas minhas, > vejam: > > Estou estudando a implantação de IDS (Intrusion Detection System) na minha > rede, particularmente o Snort (http://www.snort.org/) mas gostaria de saber > em que parte da rede esse tipo de sistema deve ser colocada, imagino que ele > precisa apenas ter contato com as rede que eu pretendo monitorar, do tipo, > eu tenho duas redes aqui: LAN e DMZ, então ele deve ter um ponto de escuta > na LAN e outro na DMZ, está certo isso? acredito que colocar ele junto do > meu firewall não é bom, também está certo esse pensamento? > > Agradeço a todos! > > -- > Fagner Patrício > João Pessoa - PB > Brasil > -- Pedro Eugênio Rocha Linux user #473848 Mestrado em Informática - UFPR Técnico Judiciário - TRE-PR -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTi=Sg=pi-p1ekxnpaabobrafkbt...@mail.gmail.com
Snort na Rede - Qual a melhor posição!
Olá Pessoal!! Gostaria de pedir ajuda de vocês para solucionar algumas dúvidas minhas, vejam: Estou estudando a implantação de IDS (Intrusion Detection System) na minha rede, particularmente o Snort (http://www.snort.org/) mas gostaria de saber em que parte da rede esse tipo de sistema deve ser colocada, imagino que ele precisa apenas ter contato com as rede que eu pretendo monitorar, do tipo, eu tenho duas redes aqui: LAN e DMZ, então ele deve ter um ponto de escuta na LAN e outro na DMZ, está certo isso? acredito que colocar ele junto do meu firewall não é bom, também está certo esse pensamento? Agradeço a todos! -- Fagner Patrício João Pessoa - PB Brasil
Re: Snort agora é pago?
Obrigado pela resposta. Eu me registrei no site e ele me apresentou o Oinkcode automaticamente. Tiago Almeida escreveu: Acho que não, Foi comprado pela Sourcefire , onde pode-se obter suporte comercial. Mas continua OpenSource e disponível para download. att. 2009/9/14 Edson - PMSS <edson.ama...@saosebastiao.sp.gov.br> O snort não tem mais atualização gratuita para uso pessoal? -- Edson Donizete do Amaral Prefeitura Municipal de São Sebastião Divisão de Tecnologia e Informação Visite o meu Blog --> http://edsonda.wordpress.com/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org -- Tiago Almeida tiagov...@gmail.com -- Edson Donizete do Amaral Prefeitura Municipal de São Sebastião Divisão de Tecnologia e Informação Visite o meu Blog --> http://edsonda.wordpress.com/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Snort agora é pago?
Acho que não, Foi comprado pela Sourcefire <http://sourcefire.com/> , onde pode-se obter suporte comercial. Mas continua OpenSource e disponível para download. att. 2009/9/14 Edson - PMSS > O snort não tem mais atualização gratuita para uso pessoal? > > -- > Edson Donizete do Amaral > > Prefeitura Municipal de São Sebastião > Divisão de Tecnologia e Informação > > Visite o meu Blog --> http://edsonda.wordpress.com/ > > -- To UNSUBSCRIBE, email to > debian-user-portuguese-requ...@lists.debian.org with a subject of > "unsubscribe". Trouble? Contact listmas...@lists.debian.org -- Tiago Almeida tiagov...@gmail.com
Snort agora é pago?
O snort não tem mais atualização gratuita para uso pessoal? -- Edson Donizete do Amaral Prefeitura Municipal de São Sebastião Divisão de Tecnologia e Informação Visite o meu Blog --> http://edsonda.wordpress.com/ -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Snort
Bom dia galera, tudo beleza.. instalei o snort 2.8.0.1, e gostaria de saber se teria jeito de atualizar a base de regras automaticamente, alguém tem uma idéia? Att, Maiquel -- www.prognus.com.br .~. / v \ Seja Livre, use GNU/Linux! /( )\ ^^-^^
Snort Não logar determinado IP
Olá Pessoal! Eu gostaria de fazer como posso fazer snort deixar de log um determinado ip. Eu já informei no HOME_NET , só que mesmo assim ele continua logando informações sobre o Obrigado!! Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
Re: Snort Scan
Ali3n escreveu: Olá Pessoal! O meu snort rodando em modo promíscuo ele captura os pacotes como icmp, http, ftp e etc... Só eu não vejo ele capturar scanners. Eu estou usando nmap -sS -O -P0 e não vejo nenhum alerta. Eu preciso fazer o que pra ele capturar scans ??? Grato pela Atenção! Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ Você precisa verificar se o pré-processador sportscan está habilidado no snort.conf. Nele vc precisa configurar os parâmetros para protocolo, entre outras coisas. Nos site do snort (www.snort.org) vc consegue baixar o manual se vc tiver compilado o programa via código fonte o manual vem junto em formato pdf. Vale a pena dar uma olhada. Experimente colocar a opção -T5 entre os parâmetros do nmap, é um tipo de ataque mais agressivo, dificilmente ele passar despercebido pelo IDS. Qualquer dúvida posta na lista. Abraço Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Snort Scan
Olá Pessoal! O meu snort rodando em modo promíscuo ele captura os pacotes como icmp, http, ftp e etc... Só eu não vejo ele capturar scanners. Eu estou usando nmap -sS -O -P0 e não vejo nenhum alerta. Eu preciso fazer o que pra ele capturar scans ??? Grato pela Atenção! Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Problema Configurar snort
Ali3n escreveu: Oi Pessoal! O meu snort não acha o banco de dados. Como é possível? Tá informado no /etc/snort/snort.conf e também no /etc/snort/snot.eth0.conf E mesmo assim quando eu vou iniciar ele exibe a seguinte mensagem: Oct 8 10:05:33 debian snort: database: must enter database name in configuration file Oct 8 10:05:33 debian snort: FATAL ERROR: Alguém tem alguma dica Valeu. Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ Para usar o Snort com banco primeiro vc precisa: - Compilar o Snort com suporte para o banco que deseja trabalhar e que o Snort oferece suport (MySql, MSSQL, Postgree, etc); - Criar o banco de dados do snort. Na pasta do código fonte, vc encontra scripts que fazer isso para vc. Basta apenas executar o scritp refernente a seu banco. Verifique se isso já foi feito. Qualquer dúvida poste ai. Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Problema Configurar snort
Oi Pessoal! O meu snort não acha o banco de dados. Como é possível? Tá informado no /etc/snort/snort.conf e também no /etc/snort/snot.eth0.conf E mesmo assim quando eu vou iniciar ele exibe a seguinte mensagem: Oct 8 10:05:33 debian snort: database: must enter database name in configuration file Oct 8 10:05:33 debian snort: FATAL ERROR: Alguém tem alguma dica Valeu. Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Configurar snort
Oi Pessoal! Eu estou tentando configurar o snort no debian. Eu estou seguindo o seguinte tutorial: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4561&pagina=5 só que nos meus logs aparace o seguinte quando eu reinicio o snort: Oct 5 18:27:49 debian snort: X-Link2State Config: Oct 5 18:27:49 debian snort: Ports: 25 691 Oct 5 18:27:49 debian snort: database: must enter database name in configuration file Oct 5 18:27:49 debian snort: FATAL ERROR: Oct 5 18:27:49 debian kernel: device eth0 left promiscuous mode Oct 5 18:27:49 debian kernel: audit(1191619669.150:43): dev=eth0 prom=0 old_prom=256 auid=4294967295 eu já alterei o /etc/snort/snort.ethx.conf output database: log, mysql, user=snort password=senha dbname=snort host=localhost # mysql -u root -p CREATE DATABASE snort; GRANT insert, select ON snort.* TO [EMAIL PROTECTED] IDENTIFIED BY 'senha'; GRANT insert, select, delete, update, create ON snort.* TO [EMAIL PROTECTED] IDENTIFIED BY 'senha'; QUIT Agora, vamos instalar o SNORT e criar as suas estruturas da database: # apt-get install snort-mysql snort-rules-default # cd /usr/share/doc/snort-mysql # gzip -d create_mysql.gz # mysql -u root -p snort < create_mysql Alguém sabe no que estou errando? Valeu pela atenção. Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento! http://br.mail.yahoo.com/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[OFF-Topic] IDS - Snort - padronização da ferrementa
Olá pessoal, tudo bem? Estou Desenvolvendo um trabalho na faculdade sobre IDS e vou utilizar o Snort, mas a biblioteca da minha faculdade é um pouco pobre nessa aréa). Já tenho alguma material e escrevi um pouco sobre, mas queria conversar com alguém, ver algum material ou como seria a melhor maneira de realizar teste de funerabilidade nessa ferrementa. Se alguem aqui trabalha na aréa ou ja pesquisou sobre isso e puder me ajudar. Deste já agradeço pela a atença e ajuda. Abraços. -- Adriano Francisco dos Santos Linux User nº 434220
Snort 2.7.0 não reconhece varredura nmap
Olá pessoal,
Estou configurando o Snort para um trabalho acadêmico. Com base no arquivo
exemplo montei a configuração a abaixo, porém qdo executo o programa, não está
sendo reconhecida a varredura do namp, além de estar muito lento.
Alguém pode me ajudar a ajustar estas regras?
Desde já muito obrigado.
#--
# http://www.snort.org Snort 2.7.0 Ruleset
# Contact: [EMAIL PROTECTED]
#--
# $Id$
# Step #1: Set the network variables:
# var HOME_NET $eth0_ADDRESS
#var rede interna
var HOME_NET 10.1.1.0/24
# var. rede externa
var EXTERNAL_NET any
# Lista de variaveis de servidores
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
# var portas dos servidores
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
#var ORACLE_PORTS 1521
#var AIM_SERVERS
[64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
# caminho para as regras
var RULE_PATH /etc/snort/rules
###
# Step #2: Configure dynamic loaded libraries
#dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
#dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
# dynamicpreprocessor file
/usr/local/lib/snort_dynamicpreprocessor/libsf_smtp_preproc.so
# dynamicdetection file
/usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so
###
# Step #3: Configure preprocessors
# PRE-PROCESSADOR FLOW
# -
#preprocessor flow: stats_interval 0 hash 2
# PRE-PROCESSADORE STREAM4
# -
#preprocessor stream4: detect_scans, \
# memcap 13200, \
# disable_evasion_alerts
#preprocessor stream4_reassemble: both
# PRE-PROCESSADOR FRAG3: Target-based IP defragmentation
# -
preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine: policy linux \
detect_anomalies \
bind_to 10.1.1.0/24
# PRE-PROCESSADOR STREAM5: Target Based stateful inspection/stream reassembly
for Snort
# -
preprocessor stream5_global: max_tcp 256000, track_tcp yes, \
track_udp no, \
memcap 6400
preprocessor stream5_tcp: policy linux, \
ports all, \
detect_anomalies
#preprocessor stream5_udp: ignore_any_rules
# Performance Statistics
# -
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats events
max pktcnt 1
# PRE-PROCESSADOR HTTP_INSPECT - OK
# -
preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252 \
detect_anomalous_servers
preprocessor http_inspect_server: server default \
ports { 80 8080 } \
oversize_dir_length 500 \
flow_depth 300 \
double_decode yes \
multi_slash yes \
webroot yes
# ascii no \
# non_rfc_char { 0x00 } \
# chunk_length 50 \
# non_strict \
# no_alerts
# PRE-PROCESSADOR RPC_DECODE: normalize RPC traffic
# -
#preprocessor rpc_decode: 111 32771
# PRE-PROCESSADOR BO: Back Orifice detector
# -
#preprocessor bo: drop { snort_attack }
# PRE-PREOCESSADOR TELNET_DECODE
# -
#preprocessor telnet_decode
# PRE-PROCESSADOR FTP_TELNET
# -
#preprocessor ftp_telnet: global \
#encrypted_traffic yes \
#inspection_type stateful
#preprocessor ftp_telnet_protocol: telnet \
#normalize \
#ayt_attack_thresh 200
#preprocessor ftp_telnet_protocol: ftp server default \
#def_max_param_len 100 \
#alt_max_param_len 200 { CWD } \
#cmd_validity MODE < char ASBCZ > \
#cmd_validity MDTM < [ date nn[.n[n[n]]] ] string > \
#chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \
#telnet_cmds yes \
#data_chan
#preprocessor ftp_telnet_protocol: ftp client default \
#max_resp_len 256 \
#bounce yes \
#telnet_cmds yes
# PRE-PROCESSADOR SMTP: SMTP normalizer, protocol enforcement and buffer
overflow
# ---
Snort+mysql+acidlab
Pessoal, Sou novo aqui na lista e gostaria de saber onde posso encontrar um bom tutorial do assunto citado. Desde já agradeço. ...: paulo : Alertas do Yahoo! Mail em seu celular. Saiba mais em http://br.mobile.yahoo.com/mailalertas/
Re: Snort - barrando o skype
do FAQ Q: How can I use l7-filter to redirect some of my traffic (to a proxy, etc.)? A: You pretty much can't, at least not in any straightforward way. L7-filter can't possibly identifiy what protocol a connection is using until it sees a packet with data in it. For TCP, this is the third packet, far too late to start redirecting anything. (Convoluted schemes involving duplicating all your packets until you get a match may be possible, but we don't recommend it.) For UDP, it could work, providing that l7-filter gets enough data in the first packet to make a decision. This is not our focus, however. This can be done if you match on some quality that every packet has (such as port or IP number) rather than using l7-filter. On 3/21/06, Fabiano Pires <[EMAIL PROTECTED]> wrote: > O módulo de iptables "layer 7 filter" identifica o skype (segundo o > próprio site - http://l7-filter.sf.net). > Fabiano > > Em 21/03/06, Márcio Luciano Donada<[EMAIL PROTECTED]> escreveu: > > -BEGIN PGP SIGNED MESSAGE- > > Hash: SHA1 > > > > Romulo Sousa wrote: > > > Boa tarde pessoal, > > > > > > Gostaria de saber se o snort barra o skype. Acontece que tenho um > > > rede onde muitos usuários estão a utilizando para conexão com o > > > skype. Isso tá gerando uma demanda muito grande de banda. Pelo que > > > estou vendo, o iptables não resolve já que as portas que o skype > > > utiliza são aleatórias. Ouvi dizer que o snort resolve isso. > > > Agradeceria se alguém pudesse colaborar com essa informação e, se > > > possível, um link sobre uma documentação na internet. > > > > > > Abraço a todos, > > > > > > Romulo Sousa > > > > > > > > Se achar algo, divulge na lista. > > > > []'s > > > > - -- > > Atenciosamente, > > Márcio Luciano Donada > > T.I. Aurora Alimentos - Chapecó(SC) > > Cooperativa Central Oeste Catarinense > > Telefones (49)33213161 ou (49)33213182 > > mdonada at auroraalimentos dot com dot br > > -BEGIN PGP SIGNATURE- > > Version: GnuPG v1.4.2.2 (FreeBSD) > > > > iD8DBQFEIGjxyJq2hZEymxcRAm/YAJ4n4dKNR3/C0iHagrPA+R9araj5ZACgoSBp > > 5/Gc7yMTF00n0b8cYTvgGac= > > =G8hy > > -END PGP SIGNATURE- > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > > > > > > -- > Abraços, > Fabiano > >
Re: Snort - barrando o skype
O módulo de iptables "layer 7 filter" identifica o skype (segundo o próprio site - http://l7-filter.sf.net). Fabiano Em 21/03/06, Márcio Luciano Donada<[EMAIL PROTECTED]> escreveu: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Romulo Sousa wrote: > > Boa tarde pessoal, > > > > Gostaria de saber se o snort barra o skype. Acontece que tenho um > > rede onde muitos usuários estão a utilizando para conexão com o > > skype. Isso tá gerando uma demanda muito grande de banda. Pelo que > > estou vendo, o iptables não resolve já que as portas que o skype > > utiliza são aleatórias. Ouvi dizer que o snort resolve isso. > > Agradeceria se alguém pudesse colaborar com essa informação e, se > > possível, um link sobre uma documentação na internet. > > > > Abraço a todos, > > > > Romulo Sousa > > > > > Se achar algo, divulge na lista. > > []'s > > - -- > Atenciosamente, > Márcio Luciano Donada > T.I. Aurora Alimentos - Chapecó(SC) > Cooperativa Central Oeste Catarinense > Telefones (49)33213161 ou (49)33213182 > mdonada at auroraalimentos dot com dot br > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.4.2.2 (FreeBSD) > > iD8DBQFEIGjxyJq2hZEymxcRAm/YAJ4n4dKNR3/C0iHagrPA+R9araj5ZACgoSBp > 5/Gc7yMTF00n0b8cYTvgGac= > =G8hy > -END PGP SIGNATURE- > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- Abraços, Fabiano
Re: Snort - barrando o skype
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Romulo Sousa wrote: > Boa tarde pessoal, > > Gostaria de saber se o snort barra o skype. Acontece que tenho um > rede onde muitos usuários estão a utilizando para conexão com o > skype. Isso tá gerando uma demanda muito grande de banda. Pelo que > estou vendo, o iptables não resolve já que as portas que o skype > utiliza são aleatórias. Ouvi dizer que o snort resolve isso. > Agradeceria se alguém pudesse colaborar com essa informação e, se > possível, um link sobre uma documentação na internet. > > Abraço a todos, > > Romulo Sousa > > Se achar algo, divulge na lista. []'s - -- Atenciosamente, Márcio Luciano Donada T.I. Aurora Alimentos - Chapecó(SC) Cooperativa Central Oeste Catarinense Telefones (49)33213161 ou (49)33213182 mdonada at auroraalimentos dot com dot br -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2.2 (FreeBSD) iD8DBQFEIGjxyJq2hZEymxcRAm/YAJ4n4dKNR3/C0iHagrPA+R9araj5ZACgoSBp 5/Gc7yMTF00n0b8cYTvgGac= =G8hy -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Snort - barrando o skype
Boa tarde pessoal, Gostaria de saber se o snort barra o skype. Acontece que tenho um rede onde muitos usuários estão a utilizando para conexão com o skype. Isso tá gerando uma demanda muito grande de banda. Pelo que estou vendo, o iptables não resolve já que as portas que o skype utiliza são aleatórias. Ouvi dizer que o snort resolve isso. Agradeceria se alguém pudesse colaborar com essa informação e, se possível, um link sobre uma documentação na internet. Abraço a todos, Romulo Sousa
Re: Snort+acid+MySQL
De uma verificada nos logs de conexão do mysql, e verifique tambem se os dados estão dentro das tabelas! É bom verificar se o snort esta no ar também, mesmo depois do start! [ ]'s Fernando Guimarães - Original Message - From: "caio ferreira" <[EMAIL PROTECTED]> To: "debian" Sent: Sunday, January 29, 2006 11:10 AM Subject: Snort+acid+MySQL -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 All Estou tendo problemas com o trio snort, acid e mysql. Fiz o a instalação e configuração do snort, acid e mysql seguindo o roteiro[1], mas infelizmente no acid não esta aparecendo nada. Não tive nenhum problema durante a instalação do snort e do acid, mas aparentemente o snort não esta logando nada. Alguém por acaso teria alguma idéia do que eu fiz de errado ? Obrigado. 1-roteiro # Dados Técnicos # ## gateway = servidor MySQ = localhost = netrino # Instalacao # $ aptitude install snort-common snort-mysql snort-rules-default mysql-client mysql-server acidlab -y # Criacao da base de dados # # mysql -u root -p Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 1 to server version: 3.23.36-log Type 'help;' or '\h' for help. Type '\c' to clear the buffer mysql> create database snort; Query OK, 1 row affected (0.01 sec) mysql> grant insert, select on snort.* to [EMAIL PROTECTED] identified by 'senha123'; Query OK, 0 rows affected (0.02 sec) mysql> grant insert, select, delete, update, create on snort.* to [EMAIL PROTECTED] identified by 'acid_senha'; Query OK, 0 rows affected (0.01 sec) mysql> quit; # cp /usr/share/doc/snort-mysql/create_mysql.gz /tmp # gunzip /tmp/create_mysql.gz # mysql -u root -p snort < /tmp/create_mysql $ vi /etc/snort/reference.config output database: log, mysql, dbname=snort user=snort host=localhost password=snort_user_password # Criando o usuario acid $ mysql -u root -p mysql> grant insert,select,delete,update,create on snort.* to [EMAIL PROTECTED] identified by 'acid_user_password'; mysql> quit; $ vi /etc/mysql/my.cnf # Comentar a linha abaixo #skip-networking $ vi /usr/share/acidlab/acid_conf.php $alert_dbname = "snort"; $alert_host = "stargate"; $alert_port = ""; $alert_user = "snort"; $alert_password = "snort_user_password"; /* Archive DB connection parameters */ $archive_dbname = "snort"; $archive_host = "stargate"; $archive_port = ""; $archive_user = "snort"; $archive_password = "snort_user_password"; ln -sf /usr/share/acidlab/ /var/www/acidlab - -- .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFD3L6oLRsGAkXlGDoRAsRwAJ482QwmFtRlVzC5gpTWzdgUqtj49wCgk3Lq 8d1by60x3uoRTLPVsUzlN4k= =GB9f -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Snort+acid+MySQL
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
All
Estou tendo problemas com o trio snort, acid e mysql.
Fiz o a instalação e configuração do snort, acid e mysql seguindo o
roteiro[1], mas infelizmente no acid não esta aparecendo nada. Não tive
nenhum problema durante a instalação do snort e do acid, mas aparentemente
o snort não esta logando nada. Alguém por acaso teria alguma idéia do que
eu fiz de errado ?
Obrigado.
1-roteiro
# Dados Técnicos #
##
gateway = servidor MySQ = localhost = netrino
# Instalacao #
$ aptitude install snort-common snort-mysql snort-rules-default
mysql-client mysql-server acidlab -y
# Criacao da base de dados #
# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 1 to server version: 3.23.36-log
Type 'help;' or '\h' for help. Type '\c' to clear the buffer
mysql> create database snort;
Query OK, 1 row affected (0.01 sec)
mysql> grant insert, select on snort.* to [EMAIL PROTECTED]
identified by 'senha123';
Query OK, 0 rows affected (0.02 sec)
mysql> grant insert, select, delete, update, create on snort.* to
[EMAIL PROTECTED] identified by 'acid_senha';
Query OK, 0 rows affected (0.01 sec)
mysql> quit;
# cp /usr/share/doc/snort-mysql/create_mysql.gz /tmp
# gunzip /tmp/create_mysql.gz
# mysql -u root -p snort < /tmp/create_mysql
$ vi /etc/snort/reference.config
output database: log, mysql, dbname=snort user=snort host=localhost
password=snort_user_password
# Criando o usuario acid
$ mysql -u root -p
mysql> grant insert,select,delete,update,create on snort.* to
[EMAIL PROTECTED] identified by 'acid_user_password';
mysql> quit;
$ vi /etc/mysql/my.cnf
# Comentar a linha abaixo
#skip-networking
$ vi /usr/share/acidlab/acid_conf.php
$alert_dbname = "snort";
$alert_host = "stargate";
$alert_port = "";
$alert_user = "snort";
$alert_password = "snort_user_password";
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "stargate";
$archive_port = "";
$archive_user = "snort";
$archive_password = "snort_user_password";
ln -sf /usr/share/acidlab/ /var/www/acidlab
- --
.''`. Caio Abreu Ferreira
: :' : GNU/Linux Debian
`. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A
`- Key ID 0x45E5183A
Linux Couter 327834
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFD3L6oLRsGAkXlGDoRAsRwAJ482QwmFtRlVzC5gpTWzdgUqtj49wCgk3Lq
8d1by60x3uoRTLPVsUzlN4k=
=GB9f
-END PGP SIGNATURE-
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
PROBLEMA SNORT+GUARDIAN
estou com um problema, utilizo o debian sarge e intalei o snort com o guardian na minha maquina, aparentemente os dois estão funcionando, o snort gera o log, o guardian tbem gera log, porem o guardian não bloqueia a máquina que tentou acessar ele gera por exemplo a seguinte linha: Odd .. source = 192.168.0.12, dest = 192.168.0.98 - No action done tentei com a versão 1.6 e com a versão 1.7 do guardian e é o mesmo problema, alguem poderia me auxiliar? Diogo Giese Linux user n°: 384995 Powered by Debian GNU/Linux ___ Novo Yahoo! Messenger com voz: ligações, Yahoo! Avatars, novos emoticons e muito mais. Instale agora! www.yahoo.com.br/messenger/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
GUARDIAN+SNORT
estou com um problema, utilizo o debian sarge e intalei o snort com o guardian na minha maquina, aparentemente os dois estão funcionando, o snort gera o log, o guardian tbem gera log, porem o guardian não bloqueia a máquina que tentou acessar ele gera por exemplo a seguinte linha: Odd .. source = 192.168.0.12, dest = 192.168.0.98 - No action done tentei com a versão 1.6 e com a versão 1.7 do guardian e é o mesmo problema, alguem poderia me auxiliar? Diogo Giese Linux user n°: 384995 Powered by Debian GNU/Linux ___ Novo Yahoo! Messenger com voz: ligações, Yahoo! Avatars, novos emoticons e muito mais. Instale agora! www.yahoo.com.br/messenger/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
snort e mysql
All Estou tentando configurar o snort para trabalhar com o mysql e infelismente estou tendo problemas. Até agoa eu fiz o seguinte : # mysql -u root -p mysql> create database snort; mysql> grant insert,select,update on snort.* to [EMAIL PROTECTED] identified by 'senha123'; mysql> grant insert,select,delete,update,create on snort.* to [EMAIL PROTECTED] identified by 'acid_senha'; mysql> quit # mysql -u root -p snort < create_mysql # vi snort.conf var HOME_NET [192.168.1.90] var EXTERNAL_NET any var DNS_SERVERS [192.168.1.0/24] output database:log, mysql, user=snort dbname=snort host=localhost password=senha123 # vi /var/www/acid/acid_conf.php $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = ""; $alert_user = "acid"; $alert_password = "acid_senha"; Quando abri a página do acid selecionei a opção Setup e a base de dados do acid foi criada. Reinicializei o snort e rodei o nmap em outro micro apontando para o gateway. O problema no log do acid não esta acusando nada. Alguém teria alguma idéia. .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` Gnupg ID 0x01186BE1 `- Linux Couter 327834
Re: snort e mysql
No dia 09/05/2005 às 15:25, Caio Ferreira <[EMAIL PROTECTED]> escreveu: > All > > Configurei o snort para trabalhar com o mysql e o acid. Aparentemente esta > tudo correto, quando fui > acessar a página do acid, apareceu uma mensagem para criar a base de dados no > mysql. Em seguida > apareceu a tela do acid. O problema é que eu passo um portscan no micro e não > aparece nada no > acid. aparecentemente o snort não esta detectando nada. a configuração do > snort esta assim: > > snort.conf > var HOME_NET any > var EXTERNAL_NET any > > snort.debian.conf > DEBIAN_SNORT_STARTUP="boot" > DEBIAN_SNORT_HOME_NET="192.168.0.0/24" > DEBIAN_SNORT_OPTIONS="" > DEBIAN_SNORT_INTERFACE="eth0" > DEBIAN_SNORT_STATS_RCPT="cosmo" > DEBIAN_SNORT_STATS_THRESHOLD="1" > > Alguem saberia me dizer o que pode estar errado !?!?! Olá Veja o seu snort.conf está dizendo que qualquer rede é a sua (any), então ele não considera. Aqui está assim em snort.conf: var HOME_NET [10.0.0.10,192.168.0.10] var EXTERNAL_NET any Ou seja, tudo que NÃO for de 10.0.0.10 e 192.168.0.10 ele considera externo. Ah, e pedi para um amigo meu dar um portscan na minha máquina através da internet, ai funcionou. Embora, em teoria, se tirar o 10.0.0.10 do snort.conf e rodar o nmap de lá contra a máquina que roda o snort então deve aparecer. Até vou testar isso depois para ver se roda. Bom, espero ter ajudado. Leandro -- (@_ Leandro Padilha Ferreira - http://androle.pro.br //\ V_/_ Linux user #237.744 - GPG ID: A7FB969E --- Deus fez o mundo em sete dias porque não tinha ninguém perguntando quando ia ficar pronto. --Visto em uma oficina signature.asc Description: Digital signature
snort e mysql
All Configurei o snort para trabalhar com o mysql e o acid. Aparentemente esta tudo correto, quando fui acessar a página do acid, apareceu uma mensagem para criar a base de dados no mysql. Em seguida apareceu a tela do acid. O problema é que eu passo um portscan no micro e não aparece nada no acid. aparecentemente o snort não esta detectando nada. a configuração do snort esta assim: snort.conf var HOME_NET any var EXTERNAL_NET any snort.debian.conf DEBIAN_SNORT_STARTUP="boot" DEBIAN_SNORT_HOME_NET="192.168.0.0/24" DEBIAN_SNORT_OPTIONS="" DEBIAN_SNORT_INTERFACE="eth0" DEBIAN_SNORT_STATS_RCPT="cosmo" DEBIAN_SNORT_STATS_THRESHOLD="1" Alguem saberia me dizer o que pode estar errado !?!?! .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` Gnupg ID 0x01186BE1 `- Linux Couter 327834
snort e mysql
All Estou tendo um pequeno problema para configurar o mysql para trabalahar com o snort. Em uma das estapas para fazer a configuracao tem o seguinte comando sql $ mysql -u root -D mysql -p mysql> insert,select,update on snort.* to [EMAIL PROTECTED] identified by 'password'; Quando eu executo o comando acima aparece a seguinte mensagem de erro: ERROR 1064: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'select,update on snort.* to [EMAIL PROTECTED] identified by 'password' Alguem por acaso saberia me dizer o que eh que esta errado ?!?!? Desde ja agradeco pela ajuda !! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
snort
galera qdo inicializo snort da o seguinte erro unning in IDS mode Initializing Network Interface eth0 --== Initializing Snort ==-- Initializing Output Plugins! Decoding Ethernet on interface eth0 Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file /etc/snort/snort.conf +++ Initializing rule chains... ,---[Flow Config]-- | Stats Interval: 0 | Hash Method: 2 | Memcap: 10485760 | Rows : 4099 | Overhead Bytes: 16400(%0.16) `-- No arguments to frag2 directive, setting defaults to: Fragment timeout: 60 seconds Fragment memory cap: 4194304 bytes Fragment min_ttl: 0 Fragment ttl_limit: 5 Fragment Problems: 0 Self preservation threshold: 500 Self preservation period: 90 Suspend threshold: 1000 Suspend period: 30 Stream4 config: Stateful inspection: ACTIVE Session statistics: INACTIVE Session timeout: 30 seconds Session memory cap: 8388608 bytes State alerts: INACTIVE Evasion alerts: INACTIVE Scan alerts: INACTIVE Log Flushed Streams: INACTIVE MinTTL: 1 TTL Limit: 5 Async Link: 0 State Protection: 0 Self preservation threshold: 50 Self preservation period: 90 Suspend threshold: 200 Suspend period: 30 Enforce TCP State: INACTIVE Midstream Drop Alerts: INACTIVE Stream4_reassemble config: Server reassembly: INACTIVE Client reassembly: ACTIVE Reassembler alerts: ACTIVE Zero out flushed packets: INACTIVE flush_data_diff_size: 500 Ports: 21 23 25 53 80 110 111 143 513 1433 Emergency Ports: 21 23 25 53 80 110 111 143 513 1433 HttpInspect Config: GLOBAL CONFIG Max Pipeline Requests:0 Inspection Type: STATELESS Detect Proxy Usage: NO IIS Unicode Map Filename: /etc/snort/unicode.map IIS Unicode Map Codepage: 1252 DEFAULT SERVER CONFIG: Ports: 80 8080 8180 Flow Depth: 300 Max Chunk Length: 50 Inspect Pipeline Requests: YES URI Discovery Strict Mode: NO Allow Proxy Usage: NO Disable Alerting: NO Oversize Dir Length: 500 Only inspect URI: NO Ascii: YES alert: NO Double Decoding: YES alert: YES %U Encoding: YES alert: YES Bare Byte: YES alert: YES Base36: OFF UTF 8: OFF IIS Unicode: YES alert: YES Multiple Slash: YES alert: NO IIS Backslash: YES alert: NO Directory Traversal: YES alert: NO Web Root Traversal: YES alert: YES Apache WhiteSpace: YES alert: NO IIS Delimiter: YES alert: NO IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG Non-RFC Compliant Characters: NONE rpc_decode arguments: Ports to decode RPC on: 111 32771 alert_fragments: INACTIVE alert_large_fragments: ACTIVE alert_incomplete: ACTIVE alert_multiple_requests: ACTIVE telnet_decode arguments: Ports to decode telnet on: 21 23 25 119 Portscan Detection Config: Detect Protocols: TCP UDP ICMP IP Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan Sensitivity Level: Low Memcap (in bytes): 1000 Number of Nodes: 36900 database: compiled support for ( mysql ) database: configured to use mysql database: user = snort database: host = 10.1.86.254 database: must enter database name in configuration file USAGE: database plugin output database: [log | alert], [type of database], [parameter list] [log | alert] selects whether the plugin will use the alert or log facility. For the first argument, you must supply the type of database. The possible values are mysql, postgresql, odbc, oracle and mssql The parameter list consists of key value pairs. The proper format is a list of key=value pairs each separated a space. The only parameter that is absolutely necessary is "dbname". All other parameters are optional but may be necessary depending on how you have configured your RDBMS. dbname - the name of the database you are connecting to host - the host the RDBMS is on port - the port number the RDBMS is listening on user - connect to the database as this user password - the password for given user sensor_name - specify your own name for this snort sensor. If you do not specify a name one will be generated automatically encoding - specify a data encoding type (hex, base64, or ascii) detail - specify a detail level (full or fast) ignore_bpf - specify if you want to ignore the BPF part for a sensor definition (yes or no, no is default) FOR EXAMPLE: The configuration I am currently using is MySQL with the database name of "snort". The user "[EMAIL PROTECTED]" has INSERT and SELECT privileges on the "snort" database and does not require a password. The following line enables snort to log
Re: snort
On Mon, 17 Jan 2005 10:06:38 -0200, informatica <[EMAIL PROTECTED]> wrote: > galera configurei o snort tudo certinho permissoes tudo ok so que qdo vo > inicir ele pelo comand snort -i eth0 -D -c /etc/snort/snort.conf -l > /var/log/snort -u snort -g snort, do um tail -f /var/log/messeges da o > seguinte > erro > kernel: snort uses obsolete (PF_INET,SOCK_PACKET) Pode ignorar isso. Não é nenhum erro. -- Carlos Laviola [EMAIL PROTECTED]
snort
galera qdo inicializo snort da o seguinte erro unning in IDS mode Initializing Network Interface eth0 --== Initializing Snort ==-- Initializing Output Plugins! Decoding Ethernet on interface eth0 Initializing Preprocessors! Initializing Plug-ins! Parsing Rules file /etc/snort/snort.conf +++ Initializing rule chains... ,---[Flow Config]-- | Stats Interval: 0 | Hash Method: 2 | Memcap: 10485760 | Rows : 4099 | Overhead Bytes: 16400(%0.16) `-- No arguments to frag2 directive, setting defaults to: Fragment timeout: 60 seconds Fragment memory cap: 4194304 bytes Fragment min_ttl: 0 Fragment ttl_limit: 5 Fragment Problems: 0 Self preservation threshold: 500 Self preservation period: 90 Suspend threshold: 1000 Suspend period: 30 Stream4 config: Stateful inspection: ACTIVE Session statistics: INACTIVE Session timeout: 30 seconds Session memory cap: 8388608 bytes State alerts: INACTIVE Evasion alerts: INACTIVE Scan alerts: INACTIVE Log Flushed Streams: INACTIVE MinTTL: 1 TTL Limit: 5 Async Link: 0 State Protection: 0 Self preservation threshold: 50 Self preservation period: 90 Suspend threshold: 200 Suspend period: 30 Enforce TCP State: INACTIVE Midstream Drop Alerts: INACTIVE Stream4_reassemble config: Server reassembly: INACTIVE Client reassembly: ACTIVE Reassembler alerts: ACTIVE Zero out flushed packets: INACTIVE flush_data_diff_size: 500 Ports: 21 23 25 53 80 110 111 143 513 1433 Emergency Ports: 21 23 25 53 80 110 111 143 513 1433 HttpInspect Config: GLOBAL CONFIG Max Pipeline Requests:0 Inspection Type: STATELESS Detect Proxy Usage: NO IIS Unicode Map Filename: /etc/snort/unicode.map IIS Unicode Map Codepage: 1252 DEFAULT SERVER CONFIG: Ports: 80 8080 8180 Flow Depth: 300 Max Chunk Length: 50 Inspect Pipeline Requests: YES URI Discovery Strict Mode: NO Allow Proxy Usage: NO Disable Alerting: NO Oversize Dir Length: 500 Only inspect URI: NO Ascii: YES alert: NO Double Decoding: YES alert: YES %U Encoding: YES alert: YES Bare Byte: YES alert: YES Base36: OFF UTF 8: OFF IIS Unicode: YES alert: YES Multiple Slash: YES alert: NO IIS Backslash: YES alert: NO Directory Traversal: YES alert: NO Web Root Traversal: YES alert: YES Apache WhiteSpace: YES alert: NO IIS Delimiter: YES alert: NO IIS Unicode Map: GLOBAL IIS UNICODE MAP CONFIG Non-RFC Compliant Characters: NONE rpc_decode arguments: Ports to decode RPC on: 111 32771 alert_fragments: INACTIVE alert_large_fragments: ACTIVE alert_incomplete: ACTIVE alert_multiple_requests: ACTIVE telnet_decode arguments: Ports to decode telnet on: 21 23 25 119 Portscan Detection Config: Detect Protocols: TCP UDP ICMP IP Detect Scan Type: portscan portsweep decoy_portscan distributed_portscan Sensitivity Level: Low Memcap (in bytes): 1000 Number of Nodes: 36900 database: compiled support for ( mysql ) database: configured to use mysql database: user = snort database: host = 10.1.86.254 database: must enter database name in configuration file USAGE: database plugin output database: [log | alert], [type of database], [parameter list] [log | alert] selects whether the plugin will use the alert or log facility. For the first argument, you must supply the type of database. The possible values are mysql, postgresql, odbc, oracle and mssql The parameter list consists of key value pairs. The proper format is a list of key=value pairs each separated a space. The only parameter that is absolutely necessary is "dbname". All other parameters are optional but may be necessary depending on how you have configured your RDBMS. dbname - the name of the database you are connecting to host - the host the RDBMS is on port - the port number the RDBMS is listening on user - connect to the database as this user password - the password for given user sensor_name - specify your own name for this snort sensor. If you do not specify a name one will be generated automatically encoding - specify a data encoding type (hex, base64, or ascii) detail - specify a detail level (full or fast) ignore_bpf - specify if you want to ignore the BPF part for a sensor definition (yes or no, no is default) FOR EXAMPLE: The configuration I am currently using is MySQL with the database name of "snort". The user "[EMAIL PROTECTED]" has INSERT and SELECT privileges on the "snort" database and does not require a password. The following line enables snort to log
Re: snort
On Mon, 17 Jan 2005 10:06:38 -0200, informatica <[EMAIL PROTECTED]> wrote: > galera configurei o snort tudo certinho permissoes tudo ok so que qdo vo > inicir ele pelo comand snort -i eth0 -D -c /etc/snort/snort.conf -l > /var/log/snort -u snort -g snort, do um tail -f /var/log/messeges da o > seguinte > erro > kernel: snort uses obsolete (PF_INET,SOCK_PACKET) Pode ignorar isso. Não é nenhum erro. -- Carlos Laviola [EMAIL PROTECTED]
snort
galera configurei o snort tudo certinho permissoes tudo ok so que qdo vo inicir ele pelo comand snort -i eth0 -D -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snort, do um tail -f /var/log/messeges da o seguinte erro kernel: snort uses obsolete (PF_INET,SOCK_PACKET) alguem poderia me ajudar?
snort
galera configurei o snort tudo certinho permissoes tudo ok so que qdo vo inicir ele pelo comand snort -i eth0 -D -c /etc/snort/snort.conf -l /var/log/snort -u snort -g snort, do um tail -f /var/log/messeges da o seguinte erro kernel: snort uses obsolete (PF_INET,SOCK_PACKET) alguem poderia me ajudar? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Entender os logs do SNORT
Existem analisadores de logs.. que fazem isso muito bem.. Se vc está registrando esses alertas no banco de dados e consequentemente deseja mostrar esses registros vc deve instalar uma série de pacotes e um deles é o analisador ACID. Para entender melhor consulte o site www.snort.org --- Julio Lopez <[EMAIL PROTECTED]> escreveu: > Olá pessoal, > > Instalei o SNORT em minha rede e gostaria de > entender melhor os registros gerados no LOG: > Alguém mais experiente poderia me explicar (ou > indicar algum tutorial) sobre como fazer uma análise > eficiente dos logs do SNORT, e entender aquelas > informações para concluir se foi invadido ou não? > > Por exemplos, o que significam na prática as > informações abaixo, obtidas do meu LOG hoje: > > > Events between 01 12 07:37:18 and 01 13 05:09:43 > Total events: 645 > Signatures recorded: 10 > Source IP recorded: 37 > Destination IP recorded: 37 > Portscan recorded: 6 > > > Events from same host to same destination using same > method > = > # of from to method > = > 127 10.0.0.139 200.185.40.69 > (http_inspect) OVERSIZE REQUEST-URI DIRECTORY > 110 200.152.199.183 155.102.177.84 ICMP > Destination Unreachable (Port Unreachable) >78 10.0.0.139 64.4.18.250 > (http_inspect) DOUBLE DECODING ATTACK >48 10.0.0.139 64.4.34.250 > (http_inspect) DOUBLE DECODING ATTACK >26 10.0.0.139 64.4.22.250 > (http_inspect) DOUBLE DECODING ATTACK >22 10.0.0.139 65.54.187.250 > (http_inspect) DOUBLE DECODING ATTACK >17 10.0.0.139 216.109.124.107 > (http_inspect) DOUBLE DECODING ATTACK >17 10.0.0.139 64.233.171.85 > (http_inspect) OVERSIZE REQUEST-URI DIRECTORY >17 10.0.0.139 65.54.184.250 > (http_inspect) DOUBLE DECODING ATTACK >15 200.176.255.22 155.102.177.84 ICMP > Destination Unreachable (Communication > Administratively Prohibited) > > > Portscans performed to/from HOME_NET > === > # of from > === > 4 200.113.32.226 > > > Desde já agradeço pela ajuda, > > Julio = Eduardo Tadeu Caixa Econômica Federal Brasília-DF ___ Yahoo! Messenger 6.0 - jogos, emoticons sonoros e muita diversão. Instale agora! http://br.download.yahoo.com/messenger/
Entender os logs do SNORT
Olá pessoal, Instalei o SNORT em minha rede e gostaria de entender melhor os registros gerados no LOG: Alguém mais experiente poderia me explicar (ou indicar algum tutorial) sobre como fazer uma análise eficiente dos logs do SNORT, e entender aquelas informações para concluir se foi invadido ou não? Por exemplos, o que significam na prática as informações abaixo, obtidas do meu LOG hoje: Events between 01 12 07:37:18 and 01 13 05:09:43Total events: 645 Signatures recorded: 10 Source IP recorded: 37 Destination IP recorded: 37Portscan recorded: 6 Events from same host to same destination using same method= # of from to method= 127 10.0.0.139 200.185.40.69 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 110 200.152.199.183 155.102.177.84 ICMP Destination Unreachable (Port Unreachable) 78 10.0.0.139 64.4.18.250 (http_inspect) DOUBLE DECODING ATTACK 48 10.0.0.139 64.4.34.250 (http_inspect) DOUBLE DECODING ATTACK 26 10.0.0.139 64.4.22.250 (http_inspect) DOUBLE DECODING ATTACK 22 10.0.0.139 65.54.187.250 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 216.109.124.107 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 64.233.171.85 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 17 10.0.0.139 65.54.184.250 (http_inspect) DOUBLE DECODING ATTACK 15 200.176.255.22 155.102.177.84 ICMP Destination Unreachable (Communication Administratively Prohibited) Portscans performed to/from HOME_NET=== # of from=== 4 200.113.32.226 Desde já agradeço pela ajuda, Julio
Re: Entender os logs do SNORT
Existem analisadores de logs.. que fazem isso muito bem.. Se vc está registrando esses alertas no banco de dados e consequentemente deseja mostrar esses registros vc deve instalar uma série de pacotes e um deles é o analisador ACID. Para entender melhor consulte o site www.snort.org --- Julio Lopez <[EMAIL PROTECTED]> escreveu: > Olá pessoal, > > Instalei o SNORT em minha rede e gostaria de > entender melhor os registros gerados no LOG: > Alguém mais experiente poderia me explicar (ou > indicar algum tutorial) sobre como fazer uma análise > eficiente dos logs do SNORT, e entender aquelas > informações para concluir se foi invadido ou não? > > Por exemplos, o que significam na prática as > informações abaixo, obtidas do meu LOG hoje: > > > Events between 01 12 07:37:18 and 01 13 05:09:43 > Total events: 645 > Signatures recorded: 10 > Source IP recorded: 37 > Destination IP recorded: 37 > Portscan recorded: 6 > > > Events from same host to same destination using same > method > = > # of from to method > = > 127 10.0.0.139 200.185.40.69 > (http_inspect) OVERSIZE REQUEST-URI DIRECTORY > 110 200.152.199.183 155.102.177.84 ICMP > Destination Unreachable (Port Unreachable) >78 10.0.0.139 64.4.18.250 > (http_inspect) DOUBLE DECODING ATTACK >48 10.0.0.139 64.4.34.250 > (http_inspect) DOUBLE DECODING ATTACK >26 10.0.0.139 64.4.22.250 > (http_inspect) DOUBLE DECODING ATTACK >22 10.0.0.139 65.54.187.250 > (http_inspect) DOUBLE DECODING ATTACK >17 10.0.0.139 216.109.124.107 > (http_inspect) DOUBLE DECODING ATTACK >17 10.0.0.139 64.233.171.85 > (http_inspect) OVERSIZE REQUEST-URI DIRECTORY >17 10.0.0.139 65.54.184.250 > (http_inspect) DOUBLE DECODING ATTACK >15 200.176.255.22 155.102.177.84 ICMP > Destination Unreachable (Communication > Administratively Prohibited) > > > Portscans performed to/from HOME_NET > === > # of from > === > 4 200.113.32.226 > > > Desde já agradeço pela ajuda, > > Julio = Eduardo Tadeu Caixa Econômica Federal Brasília-DF ___ Yahoo! Messenger 6.0 - jogos, emoticons sonoros e muita diversão. Instale agora! http://br.download.yahoo.com/messenger/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Entender os logs do SNORT
Olá pessoal, Instalei o SNORT em minha rede e gostaria de entender melhor os registros gerados no LOG: Alguém mais experiente poderia me explicar (ou indicar algum tutorial) sobre como fazer uma análise eficiente dos logs do SNORT, e entender aquelas informações para concluir se foi invadido ou não? Por exemplos, o que significam na prática as informações abaixo, obtidas do meu LOG hoje: Events between 01 12 07:37:18 and 01 13 05:09:43Total events: 645 Signatures recorded: 10 Source IP recorded: 37 Destination IP recorded: 37Portscan recorded: 6 Events from same host to same destination using same method= # of from to method= 127 10.0.0.139 200.185.40.69 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 110 200.152.199.183 155.102.177.84 ICMP Destination Unreachable (Port Unreachable) 78 10.0.0.139 64.4.18.250 (http_inspect) DOUBLE DECODING ATTACK 48 10.0.0.139 64.4.34.250 (http_inspect) DOUBLE DECODING ATTACK 26 10.0.0.139 64.4.22.250 (http_inspect) DOUBLE DECODING ATTACK 22 10.0.0.139 65.54.187.250 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 216.109.124.107 (http_inspect) DOUBLE DECODING ATTACK 17 10.0.0.139 64.233.171.85 (http_inspect) OVERSIZE REQUEST-URI DIRECTORY 17 10.0.0.139 65.54.184.250 (http_inspect) DOUBLE DECODING ATTACK 15 200.176.255.22 155.102.177.84 ICMP Destination Unreachable (Communication Administratively Prohibited) Portscans performed to/from HOME_NET=== # of from=== 4 200.113.32.226 Desde já agradeço pela ajuda, Julio
Re: Snort
Oi Renata. Você instalou/configurou o snort para ser acessado de qualquer browser não foi. Por exemplo: http://ip_da_maquina_ids/acid . Nesta tela principal tem os percentuais dos protocolos registrados pelo ids(UDP, ICMP, TCP) verifique no ICPM os alertas gravados. Se os alertas não apresentam risco, você terá que criar um regra para ignorar esses falsos positivos! No alerta mostra um endereço(link) explicando o que pode ser esse alerta.. verifique e evalie se é um falso positivo ou não.. Ou um problema no seu gatewayRenata Adriana Gazzi <[EMAIL PROTECTED]> wrote: Oi Eduardo!desculpe-me pela falta de cuidados ao escrever. Nem percebi que tinha escritotão mal...Mas é isso mesmo. Desde que o snort tá rodando, todos os pacotesregistrados são de tráfego ICMP de uma só máquina para a máquina com Snort. O ipindicado nos pacotes é sempre do gateway. Isso é normal? -This mail sent through IMP: http://horde.org/imp/Eduardo TadeuCaixa Econômica FederalBrasília-DF__Converse com seus amigos em tempo real com o Yahoo! Messenger http://br.download.yahoo.com/messenger/
Re: Snort
Não entendi muito bem "só logar alert com pacotes ICMP" ? Seria: registar os pacotes com tráfeco ICMP? Seria isso? --- Renata Adriana Gazzi <[EMAIL PROTECTED]> escreveu: > Oi pessoal!!! > > Tava procurando na net algo sobreo snort só logar > alert com pacotes ICMP. Vi > alguém na lista com o mesmo problema, mas não tinha > resposta. Alguém sabe se > está faltando algo na configuração? > > Brigadinha, Renata > > > - > This mail sent through IMP: http://horde.org/imp/ > > > -- > To UNSUBSCRIBE, email to > [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > = Eduardo Tadeu Caixa Econômica Federal Brasília-DF ___ Yahoo! Acesso Grátis - Instale o discador do Yahoo! agora. http://br.acesso.yahoo.com/ - Internet rápida e grátis
Snort
Oi pessoal!!! Tava procurando na net algo sobreo snort só logar alert com pacotes ICMP. Vi alguém na lista com o mesmo problema, mas não tinha resposta. Alguém sabe se está faltando algo na configuração? Brigadinha, Renata - This mail sent through IMP: http://horde.org/imp/
Snort + ACID
Pessoal, bom dia, Instalei apache + php4 atraves do source(tudo funcionando legal), agora estou instalei snort-mysql através do apt, qdo fui instalar o acid e pede a libphp-adodb, qdo tento instalar atraves do apt ou dpkg, existe dependencias do apache-common, php4 php4-cgi, so que já estao instalados, tentei usar o equivs mas ele não reconhece e pede a instalacao dos mesmos, pergunto o que fazer, alguem tem alguma dica. Obrigado Roald
Snort saindo Promiscuous mode
Galera, Estou habilitando o snort para verificar as possiveis brincadeiras no firewall, so que ele fica saindo do modo promiscuo, ai minha pergunta ele ainda esta verificando a placa de rede? ou o snort so olha a placa de rede em modo promiscuo? Valeu Gustavo Andreoni Vieira d´Almeida [EMAIL PROTECTED] ICQ:136922243 __ Acabe com aquelas janelinhas que pulam na sua tela. AntiPop-up UOL - É grátis! http://antipopup.uol.com.br/
snort e mysql
All Estou tentando configurar o snort, que esta instalado no gateway, para enviar as informacoes para um servidor de banco de dados mysql, que esta instaldo em outro micro. Para isso instalei os seguintes pacotes no gateway : ii snort-common Flexible Network Intrusion Detection System ii snort-mysqlFlexible Network Intrusion Detection System ii snort-rules-defaultFlexible Network Intrusion Detection System A minha duvida eh, eh necessario que eu instalei o pacote mysql-client, mysql database client binaries, no gateway, ou somente os pacotes que ja estao instalados eh o suficiente ?!?!?!?!
Re: [Fwd: snort, mysql e acid]
[EMAIL PROTECTED] wrote: Olha eu uso o mesmo aqui mas roda localmente, o mysql instalado via apt vem desabilitado a funcao via rede, vc deve habilita-la.Eu acredito que seja isto. Outra coisa vc deve colocar o nome completo tipo [EMAIL PROTECTED] A onde eh que eu habilito o mysql para trabalhar em rede ??! O problema eh que eu nao estou conseguindo logar no acid.
[Fwd: snort, mysql e acid]
Saudacoes, Olha eu uso o mesmo aqui mas roda localmente, o mysql instalado via apt vem desabilitado a funcao via rede, vc deve habilita-la.Eu acredito que seja isto. Outra coisa vc deve colocar o nome completo tipo [EMAIL PROTECTED] Tenta ai. Depois eh so se divertir :) Rodrigo
snort, mysql e acid
All
Estou tentando configurar o trio acima, mas estou tendo problemas. Fiz
o seguinte :
Dados Tecnicos #
##
gateway - stargate
servidor MySQL - akira
# Cliente #
###
$ aptitude install snort-common snort-mysql snort-rules-default
$ /etc/snort/reference.config
output database: log, mysql, dbname=snort user=snort host=stargate
password=snort_user_password
# Servidor #
$ echo "CREATE DATABASE snort;" | mysql -u root -p
$ mysql -D snort -u root -p < create_mysql
$ mysql -u root -D mysql -p
mysql> insert,select,update on snort.* to [EMAIL PROTECTED] identified by
'snort_user_password';
mysql> quit;
$ echo "GRANT INSERT, SELECT on snort.* to [EMAIL PROTECTED]" | mysql -u
root -D mysql -p
$ vi /usr/share/acidlab/acid_conf.php
$alert_dbname = "snort";
$alert_host = "stargate";
$alert_port = "";
$alert_user = "snort";
$alert_password = "snort_user_password";
/* Archive DB connection parameters */
$archive_dbname = "snort";
$archive_host = "stargate";
$archive_port = "";
$archive_user = "snort";
$archive_password = "snort_user_password";
O primeiro problema que eu estou tendo eh que quando eu tento acessar a
pagina do ACID esta aparecendo as seguintes mensagens de erro
Warning: Can't connect to MySQL server on 'stargate' (111) in
/usr/lib/adodb/adodb-mysql.inc.php on line 113
Error (p)connecting to DB : [EMAIL PROTECTED]
Check the DB connection variables in acid_conf.php
= $alert_dbname : MySQL database name where the alerts are stored
= $alert_host : host where the database is stored
= $alert_port : port where the database is stored
= $alert_user : username into the database
= $alert_password : password for the username
Problema com snort - nã o grava log nem em /var/log/snort nem no mysql
Pessoal Instalei o snort, o snort-mysql, e o acidlab. Se tento usar o snort na linha de comando assim: snort -dev -c /etc/snort.conf -A full -l /var/log/snort -i ppp0 ele mostra os pacotes, tudo ok. Mas não grava nada em /var/log/snort Também inicia quando conecto à internet, fiz a configuração usando dpkg-reconfigure snort-mysql O diabo é que não grava nada nem no mysql nem no /var/log/snort/alert de jeito nenhum. O que posso estar fazendo errado? Valeu Leandro PS: Estou perguntando porque já li trocentos tutoriais desde ontem e segui os passos recomendados porém simplesmente não grava. Já li a documentação do snort e não achei onde estou errando. /var/log/snort pertence ao usuário snort. -- (@_ Leandro Padilha Ferreira - [EMAIL PROTECTED] //\ V_/_ http://androle.pro.brLinux user: #237.744 -- Come y bebe, que la vida es breve. signature.asc Description: Digital signature
snort e mysql
All Alguem saberia me dizer se eh possivel instalar o snort com suporte a mysql no gateway da rede, pacote snort-mysql, e acessar a base de dados atraves do servidor mysql que esta instalado em outro micro ?!? Eh que eu nao estou querendo instalar o mysql-server no gateway da rede. Desde ja agradeco pela atencao.
regra do snort
All No site da Secforum tem uma reportagem[1] que tem duas regra para o snort para detectar o worm sasser. Essas regras sao arquivadas em que arquivo ?!! 1-http://www.secforum.com.br/article.php?sid=2122 .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` Gnupg ID 0x01186BE1 `-
Snort
Olá Caros Amigos.
Estou tendo um problema para utilizar o snort que é o seguite, ao
executar o comando a baixo, para verificar se o mesmo está funcionando:
snort -I /var/log/snort -c /etc/snort/snort.conf -u snort -h snort
Eu recebo a seguinte mensagem:
ERROR: No netmask specified for home network!
Fatal Error, Quitting..
Por isso segue a baixo uma cópia do arquivo de configuração que possuo,
se alguém puder me ajudar agradeço muito.
Muito Obrigado a Todos.
var HOME_NET 192.168.0.0/24
var EXTERNAL_NET !$HOME_NET 200.168.142.132/24
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
#var HTTP_PORTS 8081
## var HTTP_PORTS 80
## include somefile.rules
## var HTTP_PORTS 8080
## include somefile.rules
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS
[64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]
var RULE_PATH /etc/snort/rules
preprocessor flow: stats_interval 0 hash 2
preprocessor frag2
preprocessor stream4: detect_scans, disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252
preprocessor http_inspect_server: server default \
profile all \
ports { 80 8080 }
preprocessor rpc_decode: 111 32771
preprocessor bo
preprocessor telnet_decode
preprocessor flow-portscan: \
talker-sliding-scale-factor 0.50 \
talker-fixed-threshold 30 \
talker-sliding-threshold 30 \
talker-sliding-window 20 \
talker-fixed-window 30 \
scoreboard-rows-talker 3 \
server-watchnet $HOME_NET \
server-ignore-limit 200 \
server-rows 65535 \
server-learning-time 14400 \
server-scanner-limit 4 \
scanner-sliding-window 20 \
scanner-sliding-scale-factor 0.50 \
scanner-fixed-threshold 15 \
scanner-sliding-threshold 40 \
scanner-fixed-window 15 \
scoreboard-rows-scanner 3 \
src-ignore-net $HOME_NET \
dst-ignore-net [10.0.0.0/30] \
alert-mode once \
output-mode msg \
tcp-penalties on
#preprocessor arpspoof
#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00
output log_tcpdump: tcpdump.log
include classification.config
include reference.config
include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
# include $RULE_PATH/web-attacks.rules
# include $RULE_PATH/backdoor.rules
# include $RULE_PATH/shellcode.rules
# include $RULE_PATH/policy.rules
# include $RULE_PATH/porn.rules
# include $RULE_PATH/info.rules
# include $RULE_PATH/icmp-info.rules
# include $RULE_PATH/virus.rules
# include $RULE_PATH/chat.rules
# include $RULE_PATH/multimedia.rules
# include $RULE_PATH/p2p.rules
include $RULE_PATH/experimental.rules
include threshold.conf
Snort não sobe
Isso sempre acontecia nas atualizações e minha solução era rebaixar o snort pra versão anterior. Mas uma hora isso enche. O problema é o seguinte: Atualizava o Snort e ele parava de entrar no ar com o seguinte erro: snort: FATAL ERROR: unknown preprocessor "\200O^[^H_decode" Muito bem, eu comentava a linha em /etc/snort/snort.conf preprocessor http_decode: 80 unicode iis_alt_unicode double_encode \ iis_flip_slash full_whitespace-- e ele parava de dar erro mas também não entrava no ar. Agora eu descobri que o http_decode ficou obsoleto e não existe mais. Porém o porcaria do snort ainda assim não sobe. /var/log/daemon.log: Mar 23 02:10:08 quiron snort: Initializing daemon mode Mar 23 02:10:08 quiron snort: PID path stat checked out ok, PID path set to /var/run/ Mar 23 02:10:08 quiron snort: Writing PID "7470" to file "/var/run//snort_ppp0.pid" Mar 23 02:10:08 quiron snort: rpc_decode arguments: Mar 23 02:10:08 quiron snort: Ports to decode RPC on: 111 32771 Mar 23 02:10:08 quiron snort: alert_fragments: INACTIVE Mar 23 02:10:08 quiron snort: alert_large_fragments: ACTIVE Mar 23 02:10:08 quiron snort: alert_incomplete: ACTIVE Mar 23 02:10:08 quiron snort: alert_multiple_requests: ACTIVE Mar 23 02:10:08 quiron snort: telnet_decode arguments: Mar 23 02:10:08 quiron snort: Ports to decode telnet on: 21 23 25 119 Mas ps ax e nada de snort. Alguém tem alguma informação que possa ajudar? Obrigado Cláudio ---- Debian sarge + sid snort Version: 2.1.1-1
acid + snort + mysql
Olá Pessoal Bem sou um usuário migrando de Conectiva para Debian. Já setei snort+mysql+acid em conectiva e funcionou. Agora tento fazer o mesmo em Debian e estou chegando quase lá, mas meus conhecimentos de mysql são muito poucos. Bem consegui instalar o snort e o mysql. Até aqui ok, pois quando gero um ataque contra a máquina ( um ping ou um nmap) verifico que o snort cria no /var/log/snort o arquivo alert , portscan2 e tcpdump. e a base de dados do var/lib/mysql/snort cresce. O problema é quando instalo o ACID ele não gera o sensor. Alguem tem uma dica ou um how-to que eu possa seguir?? []s a todos
Re: Snort
Em Fri, 08 Aug 2003 15:39:23 -0300, Leandro escreveu: > Eu sei que nao tem muito a ver com o debian mas eu uso esta > distribuição para rodar o snort Tudo que estiver incluído na Debian está no escopo. > Eu estou auditando tudo que esta passando pala rede e estou > encontrado essas ocorrencias diversas vezes no log: (Sera que isto e > o virus nimda nas maquinas) > > [**] [1:1295:2] NETBIOS nimda RICHED20.DLL [**] > [Classification: Potentially Bad Traffic] [Priority: 2] > 08/05-15:33:54.658129 172.17.0.209:1065 -> 172.17.0.71:139 > TCP TTL:128 TOS:0x0 ID:10225 IpLen:20 DgmLen:108 DF > ***AP*** Seq: 0x1693B84 Ack: 0xB61F5069 Win: 0x1D7D TcpLen: 20 > [Xref => http://www.datafellows.com/v-descs/nimda.shtml] Eu não conheço o Snort e o Nimda suficientemente, mas pode ser um ataque ou uma contaminação. Claro que se você só tiver sistemas abertos está protegido. -- _ Leandro Guimarães Faria Corsetti Dutra +41 (21) 648 11 34 / \ http://br.geocities.com./lgcdutra/ +41 (78) 778 11 34 \ / Responda à lista, não a mim diretamente! +55 (11) 5686 2219 / \ Dê nota se ajudei:http://svcs.affero.net/rm.php?r=leandro
RE: Snort
"Leandro" <[EMAIL PROTECTED]> wrote: >Socor pessoal > >Eu sei que nao tem muito a ver com o debian mas eu uso esta distribuição para >rodar o snort > >Ae galera estou tendo uma duvida no meu snort aqui na empresa > >Eu estou auditando tudo que esta passando pala rede e estou encontrado essas >ocorrencias diversas vezes no log: (Sera que isto e o virus nimda nas maquinas) > >[**] [1:1295:2] NETBIOS nimda RICHED20.DLL [**] >[Classification: Potentially Bad Traffic] [Priority: 2] >08/05-15:33:54.658129 172.17.0.209:1065 -> 172.17.0.71:139 >TCP TTL:128 TOS:0x0 ID:10225 IpLen:20 DgmLen:108 DF >***AP*** Seq: 0x1693B84 Ack: 0xB61F5069 Win: 0x1D7D TcpLen: 20 >[Xref => http://www.datafellows.com/v-descs/nimda.shtml] Que tal procurar informações sobre o Nimda (inclusive sobre essa dll) no site da McAfee (http://vil.nai.com/VIL/default.asp)? A propósito, qual versão do Debian, do kernel e do Snort vc usa? O Snort manda corretamente os relatórios por e-mail? Tenho tido problemas com isso. > >Muito obrigado ...\ []'s, Gustavo Guedes __ McAfee VirusScan Online from the Netscape Network. Comprehensive protection for your entire computer. Get your free trial today! http://channels.netscape.com/ns/computing/mcafee/index.jsp?promo=393397 Get AOL Instant Messenger 5.1 free of charge. Download Now! http://aim.aol.com/aimnew/Aim/register.adp?promo=380455
Snort
Socor pessoal Eu sei que nao tem muito a ver com o debian mas eu uso esta distribuição para rodar o snort Ae galera estou tendo uma duvida no meu snort aqui na empresa Eu estou auditando tudo que esta passando pala rede e estou encontrado essas ocorrencias diversas vezes no log: (Sera que isto e o virus nimda nas maquinas) [**] [1:1295:2] NETBIOS nimda RICHED20.DLL [**] [Classification: Potentially Bad Traffic] [Priority: 2] 08/05-15:33:54.658129 172.17.0.209:1065 -> 172.17.0.71:139 TCP TTL:128 TOS:0x0 ID:10225 IpLen:20 DgmLen:108 DF ***AP*** Seq: 0x1693B84 Ack: 0xB61F5069 Win: 0x1D7D TcpLen: 20 [Xref => http://www.datafellows.com/v-descs/nimda.shtml] Muito obrigado ...\ TuXXX
Re: Snort
Wed, Jul 23, 2003 at 04:27:29PM -0400, [EMAIL PROTECTED]: > Olá, > > Alguém conhece o Snort (1.8.4beta1-3.1) rodando em Debian (kernel > 2.4.18-1-586tsc) e saberia me dizer por que ele está me mandando o > "daily report" em branco, apesar de estar logando normalmente em > /var/log/snort? Acho que é um Bug que não foi sanado por completo. Instale o Snort 2.0 da Sid, que roda legal no woody. Até Claudio -- +- .''`. ---| Claudio Clemens in Germany now |--| Sid |---+ | : :' : asturio at gmx.netGNU/Linux User #79942| | `. `'"To C or not to C? That's the question!" | | `- "YE GODS, I HAVE FEET??!" <- Userfriendly | PATH=/help/needhelp/morehelp/sendhelp//oh_no/whoops: pgpTRc31mioaR.pgp Description: PGP signature
Re: Snort - relatorios diarios em branco
Em Fri, 25 Jul 2003 16:16:33 -0400, [EMAIL PROTECTED] escreveu: > Olá, > > Alguém conhece o Snort (1.8.4beta1-3.1) rodando em Debian (kernel > 2.4.18-1-586tsc) e saberia me dizer por que ele está me mandando o > "daily report" em branco, apesar de estar logando normalmente em > /var/log/snort? As versões 1.8 e 1.9 do Snort são obsoletas. Novas assinaturas de anomalias são feitas somente para a versão 2.0. Eu compilei os pacotes do Snort para a versão estável do Debian. Para mais informações, por favor siga até o endereço abaixo: http://www.carezia.eng.br/debian/ []s, -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Snort - relatorios diarios em branco
Olá, Alguém conhece o Snort (1.8.4beta1-3.1) rodando em Debian (kernel 2.4.18-1-586tsc) e saberia me dizer por que ele está me mandando o "daily report" em branco, apesar de estar logando normalmente em /var/log/snort? # ls -l /var/log/snort/alert* -rw--- 1 snortsnort 8009644 Jul 25 17:16 /var/log/snort/alert # cat /etc/snort/snort.debian.conf ... DEBIAN_SNORT_STARTUP=boot DEBIAN_SNORT_HOME_NET="xxx" DEBIAN_SNORT_OPTIONS=" -i eth1" DEBIAN_SNORT_STATS_RCPT="[EMAIL PROTECTED]" DEBIAN_SNORT_STATS_TRESHOLD="1" Ou seja, parece estar tudo ok. Alguma dica? []s, Gustavo __ McAfee VirusScan Online from the Netscape Network. Comprehensive protection for your entire computer. Get your free trial today! http://channels.netscape.com/ns/computing/mcafee/index.jsp?promo=393397 Get AOL Instant Messenger 5.1 free of charge. Download Now! http://aim.aol.com/aimnew/Aim/register.adp?promo=380455
Re: Snort - relatorios diarios em branco
# ls -l /var/log/snort/alert* -rw---1 snortsnort 7392322 Jul 24 12:49 /var/log/snort/alert Ou seja, o snort está logando. /etc/snort/snort.debian.conf: DEBIAN_SNORT_STARTUP=boot DEBIAN_SNORT_HOME_NET="xxx" DEBIAN_SNORT_OPTIONS=" -i eth1" DEBIAN_SNORT_STATS_RCPT="[EMAIL PROTECTED]" DEBIAN_SNORT_STATS_TRESHOLD="1" Ou seja, parece estar tudo ok. Alguma dica? []s, Gustavo André Carezia <[EMAIL PROTECTED]> wrote: >Em Mon, 21 Jul 2003 16:24:29 -0400, [EMAIL PROTECTED] escreveu: > >> Instalei o Snort 1.8.4beta1-3.1 (stable) num firewall rodando Debian >> 3.0 stable, kernel 2.4.18-1-586tsc, e estou recebendo o "daily >> report", via e-mail, com as estatísticas zeradas. Não obstante, os >> arquivos de log (em /var/log/snort/) estão sendo atualizados. > >E o que eles contém? Qual a saída do comando abaixo? > > ls -l /var/log/snort/alert* > >Qual o conteúdo do arquivo "/etc/snort/snort.debian.conf" ? > >-- >André Carezia >Eng. de Telecomunicações >Carezia Consultoria - www.carezia.eng.br > > >-- >To UNSUBSCRIBE, email to [EMAIL PROTECTED] >with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > __ McAfee VirusScan Online from the Netscape Network. Comprehensive protection for your entire computer. Get your free trial today! http://channels.netscape.com/ns/computing/mcafee/index.jsp?promo=393397 Get AOL Instant Messenger 5.1 free of charge. Download Now! http://aim.aol.com/aimnew/Aim/register.adp?promo=380455
Re: Snort - relatorios diarios em branco
Em Mon, 21 Jul 2003 16:24:29 -0400, [EMAIL PROTECTED] escreveu: > Instalei o Snort 1.8.4beta1-3.1 (stable) num firewall rodando Debian > 3.0 stable, kernel 2.4.18-1-586tsc, e estou recebendo o "daily > report", via e-mail, com as estatísticas zeradas. Não obstante, os > arquivos de log (em /var/log/snort/) estão sendo atualizados. E o que eles contém? Qual a saída do comando abaixo? ls -l /var/log/snort/alert* Qual o conteúdo do arquivo "/etc/snort/snort.debian.conf" ? -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br
Snort
Olá, Alguém conhece o Snort (1.8.4beta1-3.1) rodando em Debian (kernel 2.4.18-1-586tsc) e saberia me dizer por que ele está me mandando o "daily report" em branco, apesar de estar logando normalmente em /var/log/snort? Obrigado, Gustavo Guedes __ McAfee VirusScan Online from the Netscape Network. Comprehensive protection for your entire computer. Get your free trial today! http://channels.netscape.com/ns/computing/mcafee/index.jsp?promo=393397 Get AOL Instant Messenger 5.1 free of charge. Download Now! http://aim.aol.com/aimnew/Aim/register.adp?promo=380455
Snort - relatorios diarios em branco
Olá, pessoal... Trabalho no setor de informática do TRT/MG, e usamos Debian GNU Linux aqui em alguns de nossos servidores de rede. Instalei o Snort 1.8.4beta1-3.1 (stable) num firewall rodando Debian 3.0 stable, kernel 2.4.18-1-586tsc, e estou recebendo o "daily report", via e-mail, com as estatísticas zeradas. Não obstante, os arquivos de log (em /var/log/snort/) estão sendo atualizados. Alguma dica? Gustavo __ McAfee VirusScan Online from the Netscape Network. Comprehensive protection for your entire computer. Get your free trial today! http://channels.netscape.com/ns/computing/mcafee/index.jsp?promo=393397 Get AOL Instant Messenger 5.1 free of charge. Download Now! http://aim.aol.com/aimnew/Aim/register.adp?promo=380455
Re: Snort de novo...
É aconselhavel o uso do snort, pois ele detecta e pode até barrar invasões. Se vc deseja observar apenas o tráfego intrusivo que passou pelo seu firewall, use-o na eth0. Tudo depende do que vc quer analisar e quais máquinas estarão sendo monitoradas Inté. Eurípedes. cyrowcrf <[EMAIL PROTECTED]> escreveu: > Voces aconselham usar o snort ou ele cria apenas mais brechas de segurança do > que ajuda? > No caso do meu firewall eu tenho uma conexao adsl ppp0 que me conecta a > internet, entao no snort eu defino a conexao > ppp0 ou a eth0 (rede interna) para ser monitorada? > Obrigado novamente... > > Cyro > > > > __ > Seleção de Softwares UOL. > 10 softwares escolhidos pelo UOL para você e sua família. > http://www.uol.com.br/selecao > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Eurípedes Laurindo Lopes Júnior Analista de Sistemas - IB - USP Telefax: 3091-7436
Re: Analizador de logs do snort...
Para instalar o snort primeiro vc deve analisar a arquitetura da sua rede e quais máquinas vc pretende analisar o tráfego. Pode usar o snort junto com o firewall para analisar o tráfego antes ou depois de ser bloqueado. Ou até mesmo, usar o snort apenas no servidor para analisar tentativas de intrusão apenas nesta máquina. Inté. Eurípedes cyrowcrf <[EMAIL PROTECTED]> escreveu: > Oi pessoal, > > Vou utilizar o snort para detectar ataques a minha rede, mas tenho duas > duvidas, que gostaria que voces me ajudassem. > 1) Onde devo instalar o snort para monitorar os ataques a minha rede, no roteador/firewall, no servidor linux, ou em > qualquer estação linux da rede? Se eu instar no servidor, o snort vai detectar qualquer ataque ao meu roteador também? > 2) Se tiver que instalar no roteador (o que eu acho que seja o certo) como vou poder visualizar os ataques? Já que no > meu roteador não tenho monitor nem teclado, posso fazer ssh para ele, mas não > é muito pratico, existe alguma ferramenta > que eu possa instalar no servidor, para visualizar os logs gerados pelo snort > no firewall? > > P.S: Vou instalar o snort para gerar informações em log, já que no roteador > nao tenho instalado apache,etc, entao o > acid não funcionará. Voces aconselham instalar o snort para gerar alertas em > log ou ha outra melhor forma? > > Muito obrigado pela informação e pela atenção de todos... > > Cyro > > > > __ > Seleção de Softwares UOL. > 10 softwares escolhidos pelo UOL para você e sua família. > http://www.uol.com.br/selecao > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Eurípedes Laurindo Lopes Júnior Analista de Sistemas - IB - USP Telefax: 3091-7436
Snort de novo...
Voces aconselham usar o snort ou ele cria apenas mais brechas de segurança do que ajuda? No caso do meu firewall eu tenho uma conexao adsl ppp0 que me conecta a internet, entao no snort eu defino a conexao ppp0 ou a eth0 (rede interna) para ser monitorada? Obrigado novamente... Cyro __ Seleção de Softwares UOL. 10 softwares escolhidos pelo UOL para você e sua família. http://www.uol.com.br/selecao
Analizador de logs do snort...
Oi pessoal, Vou utilizar o snort para detectar ataques a minha rede, mas tenho duas duvidas, que gostaria que voces me ajudassem. 1) Onde devo instalar o snort para monitorar os ataques a minha rede, no roteador/firewall, no servidor linux, ou em qualquer estação linux da rede? Se eu instar no servidor, o snort vai detectar qualquer ataque ao meu roteador também? 2) Se tiver que instalar no roteador (o que eu acho que seja o certo) como vou poder visualizar os ataques? Já que no meu roteador não tenho monitor nem teclado, posso fazer ssh para ele, mas não é muito pratico, existe alguma ferramenta que eu possa instalar no servidor, para visualizar os logs gerados pelo snort no firewall? P.S: Vou instalar o snort para gerar informações em log, já que no roteador nao tenho instalado apache,etc, entao o acid não funcionará. Voces aconselham instalar o snort para gerar alertas em log ou ha outra melhor forma? Muito obrigado pela informação e pela atenção de todos... Cyro __ Seleção de Softwares UOL. 10 softwares escolhidos pelo UOL para você e sua família. http://www.uol.com.br/selecao
Re: Configuração básica do Snort ???????
On Sat, 03 May 2003 17:17:04 -0300, Gustavo V. Goulart wrote: > Como posso configurar o snort para enviar-me esse mail uma vez por > semana, e com um subject: Snort Já leu a documentacão, seja a instalada pelo apt seja em snort.org? -- _ Leandro Guimarães Faria Corsetti Dutra+41 (21) 648 11 34 / \ Lausanne, Vaud, Suisse+41 (78) 778 11 34 \ / Brasil+55 (11) 5686 2219 / \ http://geocities.yahoo.com.br/lgcdutra/
Configuração básica do Snort ???????
Olá lista, Instalei o snort em um servidor meu faz mais ou menos um mês, e somente hoje recebi um mail dele dizendo que esta tudo OK. Subject: [SNORT] rs6000.cond-lis.net daily report The log begins from: :: The log ends at: :: Total events: 0 Signatures recorded: 0 Source IP recorded: 0 Destination IP recorded: 0 The number of attacks from same host to same destination using same method = # of attacks from tomethod = Percentage and number of attacks from a host to a destination # of %attacks from to Percentage and number of attacks from one host to any with same method == # of %attacks from method == Percentage and number of attacks to one certain host = # of %attacks tomethod = O subject da mensagem veio em branco. Como posso configurar o snort para enviar-me esse mail uma vez por semana, e com um subject: Snort Alguem poderia dar uma ajudinha ? Uso o snort sem mysql, básico ...
configuração snort
[EMAIL PROTECTED], faz uns dias que o meu snort não reporta mais coisa nenhuma - e infelizmente não faço idéia o que aconteceu (ou mexi ...)! O arquivo '/var/log/snort/alert' fica sem mudança nenhuma, só o arquivo '/var/log/snort/portscan.log é roteado diariamente (e sempe vazio) Tentei reinstalar, mas não adiantou =( sistema: woody, kernel 2.4.18 servidor ip_masq, ip_tables, rede interna eth0 : 192.168.1.0/24, roteador ADSL eth1 : 192.168.0.0/24, # dpkg -l 'snor*' ||/ Name Version +++-=-== ii snort 1.8.4beta1-2 ii snort-common 1.8.4beta1-2 pn snort-doc rc snort-mysql 1.8.4beta1-2 un snort-pgsql un snort-rules ii snort-rules-default 1.8.4beta1-2 # ps aux |grep snort snort 9869 0.3 15.7 8852 7188 ?S 12:33 0:21 /usr/sbin/snort -D -S HOME_NET=[192.168.1.0/24] -h 192.168.1.0/24 -c /etc/snort/snort.conf -l /var/log/snort -b -d -u snort -g snort agradeço qualquer dica, Pascal pgpqJG1yLQ08x.pgp Description: PGP signature
Instalacao Snort
People.. se eu der apt-get install snort no woody, ele vai se instalar com a opcao de suporte a banco de dados? ou sou obrigado a baixar o fonte e compilar? pro php tb vem sem suporte?? tem como eu setar alguma informacao no apt-get para ele instalar com suporte a determinado programa? []'s Hélio José Poffo Junior - Técnico em InformáticaPassebus Administradora LTDA.Linux user: #196175
Re: Snort
Ola, bem... meu problema naum eh entender onde colocar o snort nem a parte de configuraçao e explicacao da rede... isso eu ja tinha conhecimento, mesmo assim agradeço.. o problema esta no pq o snort naum esta granvando no mysql as informacoes... configurei o snort pra roda em cima do meu firewall, snifando a placa de rede que vai para meu router... nos logs gerados nos arquivos normais /var/log/snort ele esta gravando, se rodo o snort na mao, e depois eu paro, nas estatisticas mostra pacotes tcp, xxx udp etc... o preblema esta com o mysql...e o pior eh q naum tem nenhuma msg que desse um erro para eu poder buscar onde esta errado...caso alguem saiba como posso "debugar" para descobrir pq naum esta gravando seria uma grande ajuda...ou entaum alguem dizer como configurou seu mysql e snort... mesmo assim agradeço.. []'s Frederico Costa <[EMAIL PROTECTED]> escreveu: > Hélio, > > Uma aula básica de rede: > > Tipos de rede ethernet: Compartilhada e Comutada > > Na rede Compartilhada, temos que todos os pacotes enviados para/de um > computador sao retransmitidos para todos os computadores que estâo no > mesmo barramento que ele. O tipo de ativo de red que possibilita isto é > o HUB, que nada mais é que um repetidor e reforçador eletrico, ist é, > sem inteligencia nenhuma (o apelido mais comum dele é: benjamin de > rede!! :-) > > Na rede comutada, utiliza-se o Switch, que já tem traços de inteligência > incluida nele. o Switch age de maneira a descobrir qual o MAC Address > decada computador que está ligado em suas portas e, quando recebe um > pacote, analisa-o e envia apenas para a porta a qual ele é destinado. > Podes perguntar: e se ele ainda nao tem o MAC Address de uma maquina? > Bem, como 95% das placas hoje em dia sao 10/100, geralmente o Switch jah > pega o MAC logo quando a placa é plugada nele, mas se isto nao acontece > (for uma placa 100 pura), ele pode mandar para todas as suas portas. > > Sendo assim, se quiseres colocar um Snort para examinar o trafego de sua > rede, mude-a temporariamente para HUB. Caso queira apenas examinar o > trafego que vai para internet, deixe o Snort plugado junto ao seu > gateway em um HUB e este HUB ligado ao switch aonde está o resto da rede > interna (nao haverá perda de performance :-) > > Espero ter esclarecido... > > > cheers > > Fred -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Snort...
Ola, bem... meu problema naum eh entender onde colocar o snort nem a parte de configuraçao e explicacao da rede... isso eu ja tinha conhecimento, mesmo assim agradeço.. o problema esta no pq o snort naum esta granvando no mysql as informacoes... configurei o snort pra roda em cima do meu firewall, snifando a placa de rede que vai para meu router... nos logs gerados nos arquivos normais /var/log/snort ele esta gravando, se rodo o snort na mao, e depois eu paro, nas estatisticas mostra pacotes tcp, xxx udp etc... o preblema esta com o mysql...e o pior eh q naum tem nenhuma msg que desse um erro para eu poder buscar onde esta errado... mesmo assim agradeço.. []'s Frederico Costa <[EMAIL PROTECTED]> escreveu: > Hélio, > > Uma aula básica de rede: > > Tipos de rede ethernet: Compartilhada e Comutada > > Na rede Compartilhada, temos que todos os pacotes enviados para/de um > computador sao retransmitidos para todos os computadores que estâo no > mesmo barramento que ele. O tipo de ativo de red que possibilita isto é > o HUB, que nada mais é que um repetidor e reforçador eletrico, ist é, > sem inteligencia nenhuma (o apelido mais comum dele é: benjamin de > rede!! :-) > > Na rede comutada, utiliza-se o Switch, que já tem traços de inteligência > incluida nele. o Switch age de maneira a descobrir qual o MAC Address > decada computador que está ligado em suas portas e, quando recebe um > pacote, analisa-o e envia apenas para a porta a qual ele é destinado. > Podes perguntar: e se ele ainda nao tem o MAC Address de uma maquina? > Bem, como 95% das placas hoje em dia sao 10/100, geralmente o Switch jah > pega o MAC logo quando a placa é plugada nele, mas se isto nao acontece > (for uma placa 100 pura), ele pode mandar para todas as suas portas. > > Sendo assim, se quiseres colocar um Snort para examinar o trafego de sua > rede, mude-a temporariamente para HUB. Caso queira apenas examinar o > trafego que vai para internet, deixe o Snort plugado junto ao seu > gateway em um HUB e este HUB ligado ao switch aonde está o resto da rede > interna (nao haverá perda de performance :-) > > Espero ter esclarecido... > > > cheers > > Fred -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Snort...
Hélio, Uma aula básica de rede: Tipos de rede ethernet: Compartilhada e Comutada Na rede Compartilhada, temos que todos os pacotes enviados para/de um computador sao retransmitidos para todos os computadores que estâo no mesmo barramento que ele. O tipo de ativo de red que possibilita isto é o HUB, que nada mais é que um repetidor e reforçador eletrico, ist é, sem inteligencia nenhuma (o apelido mais comum dele é: benjamin de rede!! :-) Na rede comutada, utiliza-se o Switch, que já tem traços de inteligência incluida nele. o Switch age de maneira a descobrir qual o MAC Address decada computador que está ligado em suas portas e, quando recebe um pacote, analisa-o e envia apenas para a porta a qual ele é destinado. Podes perguntar: e se ele ainda nao tem o MAC Address de uma maquina? Bem, como 95% das placas hoje em dia sao 10/100, geralmente o Switch jah pega o MAC logo quando a placa é plugada nele, mas se isto nao acontece (for uma placa 100 pura), ele pode mandar para todas as suas portas. Sendo assim, se quiseres colocar um Snort para examinar o trafego de sua rede, mude-a temporariamente para HUB. Caso queira apenas examinar o trafego que vai para internet, deixe o Snort plugado junto ao seu gateway em um HUB e este HUB ligado ao switch aonde está o resto da rede interna (nao haverá perda de performance :-) Espero ter esclarecido... cheers Fred On Thu, 2002-05-23 at 12:34, Hélio José Poffo Junior wrote: > naum, nossa rede eh com swith... > > mas pq? > > > - Original Message - > From: "Frederico Costa" <[EMAIL PROTECTED]> > To: "Hélio José Poffo Junior" <[EMAIL PROTECTED]> > Cc: "Gustavo de Aquino" <[EMAIL PROTECTED]>; "Debian User" > > Sent: Thursday, May 23, 2002 5:31 AM > Subject: Re: Snort... > > > > Perguntinha basica: Tah usando Hub neh? > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Snort...
sim uso o snort com mysql !! vc criou as tabelas no mysql ? se sim basta dar um select * from tcphdr; se ele estiver gravando vai estar ai. [ ] ´s At 02:10 PM 5/23/02 -0300, you wrote: vc sabe como posso verificar se os logs estaum dentro do banco de dados? talvez seja um problema com o acid... vc utiliza o snort com banco de dados??? ja reinstalei todo o snort e depends e continua a mesma coisa.. qq ajuda sera bem-vinda... []'s
Re: Snort...
Perguntinha basica: Tah usando Hub neh? On Thu, 2002-05-23 at 10:22, Hélio José Poffo Junior wrote: > estou ativando assim: > > /usr/local/snort/snort -i eth0 -c /usr/local/snort/rules/snort.conf -u snort > -g snort -b -l /var/log/snort > - Original Message - > From: Gustavo de Aquino > To: Hélio José Poffo Junior ; Debian User > Sent: Thursday, May 23, 2002 10:19 AM > Subject: Re: Snort... > > > como que vc da start no seu snort ? > > tenta assim > snort -i eth0 -c /usr/local/snort/snort.conf -b -l /usr/log/snort > > -c aponte para onde esta seu arquivo de configuração do snort.conf > -i coloque a interface que deseja escutar > > [ ] ´s > > Gustavo > > > At 10:03 AM 5/23/02 -0300, Hélio José Poffo Junior wrote: > > Povo, eu denovo... > > novas duvidas... > > instalei o snort, configurei... > ta... > > se rodo snort -v (um testezinhu) ele me mostra snifando a rede... > configurei o acid e seus componentes (mysql, phplot, adodb, apache com > ssl...) > > tudo certo aparentemente.. > > o problema eh o seguinte.. > quando acesso a hp, ele mostra tudo certo sem erros...mas as estatisticas > naum saim de 0 pacotes pra tudo e todos... > > como se naum estivesse sendo gravado os dados em meu banco de dados... > > alguem ja instalou o snort assim? sabe oq pode ser.. > > alguem sabe como posso verificar se as tabelas estaum com dados ou naum > esta gravando nada mesmo?? > > uso Debian Woody.. > > []'s > > Hélio José Poffo Junior - Técnico em Informática > Passebus Administradora LTDA. > Linux user: #196175 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Snort...
estou ativando assim: /usr/local/snort/snort -i eth0 -c /usr/local/snort/rules/snort.conf -u snort -g snort -b -l /var/log/snort - Original Message - From: Gustavo de Aquino To: Hélio José Poffo Junior ; Debian User Sent: Thursday, May 23, 2002 10:19 AM Subject: Re: Snort... como que vc da start no seu snort ?tenta assimsnort -i eth0 -c /usr/local/snort/snort.conf -b -l /usr/log/snort-c aponte para onde esta seu arquivo de configuração do snort.conf-i coloque a interface que deseja escutar[ ] ´sGustavoAt 10:03 AM 5/23/02 -0300, Hélio José Poffo Junior wrote: Povo, eu denovo... novas duvidas... instalei o snort, configurei...ta... se rodo snort -v (um testezinhu) ele me mostra snifando a rede...configurei o acid e seus componentes (mysql, phplot, adodb, apache com ssl...) tudo certo aparentemente.. o problema eh o seguinte..quando acesso a hp, ele mostra tudo certo sem erros...mas as estatisticas naum saim de 0 pacotes pra tudo e todos... como se naum estivesse sendo gravado os dados em meu banco de dados... alguem ja instalou o snort assim? sabe oq pode ser.. alguem sabe como posso verificar se as tabelas estaum com dados ou naum esta gravando nada mesmo?? uso Debian Woody.. []'sHélio José Poffo Junior - Técnico em InformáticaPassebus Administradora LTDA.Linux user: #196175
Re: Snort...
como que vc da start no seu snort ? tenta assim snort -i eth0 -c /usr/local/snort/snort.conf -b -l /usr/log/snort -c aponte para onde esta seu arquivo de configuração do snort.conf -i coloque a interface que deseja escutar [ ] ´s Gustavo At 10:03 AM 5/23/02 -0300, Hélio José Poffo Junior wrote: Povo, eu denovo... novas duvidas... instalei o snort, configurei... ta... se rodo snort -v (um testezinhu) ele me mostra snifando a rede... configurei o acid e seus componentes (mysql, phplot, adodb, apache com ssl...) tudo certo aparentemente.. o problema eh o seguinte.. quando acesso a hp, ele mostra tudo certo sem erros...mas as estatisticas naum saim de 0 pacotes pra tudo e todos... como se naum estivesse sendo gravado os dados em meu banco de dados... alguem ja instalou o snort assim? sabe oq pode ser.. alguem sabe como posso verificar se as tabelas estaum com dados ou naum esta gravando nada mesmo?? uso Debian Woody.. []'s Hélio José Poffo Junior - Técnico em Informática Passebus Administradora LTDA. Linux user: #196175
Snort...
Povo, eu denovo... novas duvidas... instalei o snort, configurei... ta... se rodo snort -v (um testezinhu) ele me mostra snifando a rede... configurei o acid e seus componentes (mysql, phplot, adodb, apache com ssl...) tudo certo aparentemente.. o problema eh o seguinte.. quando acesso a hp, ele mostra tudo certo sem erros...mas as estatisticas naum saim de 0 pacotes pra tudo e todos... como se naum estivesse sendo gravado os dados em meu banco de dados... alguem ja instalou o snort assim? sabe oq pode ser.. alguem sabe como posso verificar se as tabelas estaum com dados ou naum esta gravando nada mesmo?? uso Debian Woody.. []'s Hélio José Poffo Junior - Técnico em InformáticaPassebus Administradora LTDA.Linux user: #196175
