Перейти до змісту
  • *nix
  • Snort и методы графического отображения результатов наблюдения


    shrikes

    Рекомендовані повідомлення

    Все кто имеет опыт работы со Snort, посоветуйте, с чем лучше скрутить Snort, чтобы можно было в веб-формате или еще как-то так сказать созерцать то, что он журналирует....

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    Нашел неплохую связку - Snort+Mysql+BASE

    BASE - это что-то вроде ACID

    Из последних портежей ACID исключен, незнаю почему...если есть интерес, спрашивайте подскажу!

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    • 1 місяць через...

    MySql в связке не совсем коректно использовать, так как это нарушает безопасность и главный смысл Snort'а...

     

    если вырисовать смысловую структуру системы этой связки, то все станет ясно...

     

    это всего лишь мое предположение и предложение будет таким:

    - сделать демона который бы служыл лог-сервером для Snort;

    - научить Snort работать с этим демоном;

     

    Неплохо было бы в демоне реализовать:

    - входные очередя с приоритетами и типами;

    - потипную запись в файлы (я бы файлы именовал с штампом даты);

     

    главное не забывать о смене даты и начинать писать в новый файл... это все в дальнейшем будет "аспирином" для админа...

     

    З.Ы. готов выслушать критику %)

    Змінено користувачем ТЬоХKа_РоЖеВИм_СОн
    Посилання на коментар
    Поділитись на інші сайти

    MySql в связке не совсем коректно использовать, так как это нарушает безопасность и главный смысл Snort'а...

     

    если вырисовать смысловую структуру системы этой связки, то все станет ясно...

     

    это всего лишь мое предположение и предложение будет таким:

    - сделать демона который бы служыл лог-сервером для Snort;

    - научить Snort работать с этим демоном;

     

    Неплохо было бы в демоне реализовать:

    - входные очередя с приоритетами и типами;

    - потипную запись в файлы (я бы файлы именовал с штампом даты);

     

    главное не забывать о смене даты и начинать писать в новый файл... это все в дальнейшем будет "аспирином" для админа...

     

    З.Ы. готов выслушать критику %)

     

    Я не программист, поэтому научить не смогу, единствнное что приходит на ум из того что я прочитал, это barnyad...но он тоже ложит все в базы...и еще, безопасность имеет смысл обсждать, если snort ставить на границе сети, но есть вариант, когда snort ітавят без присваивания адреса с использованием сетевой ловушки, наверное обьяснять не надо...если так, то я думаю вопрос отпадает....

     

    если есть опіт поделись...мне будет интересно!!!

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

     

    Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

     

    Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

     

    но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

     

    мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

    Посилання на коментар
    Поділитись на інші сайти

    • 2 тижня через...

    не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

     

    Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

     

    Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

     

    но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

     

    мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

     

    Ты забыл добавить что любовь к мелкомягким у тебя только при цене софта 12 гривен за компакт диск.
    Посилання на коментар
    Поділитись на інші сайти

    Ты забыл добавить что любовь к мелкомягким у тебя только при цене софта 12 гривен за компакт диск.

     

    ты не прав... причем в корне...
    Посилання на коментар
    Поділитись на інші сайти

    • 3 тижня через...

    Ты покупаешь на петровке за двадцать ??? Это корень ??

     

    это тебя не обходит...

     

    расцени за сьезд, а я разценю твое оправдание перед начальством тоже за сьезд...

    Посилання на коментар
    Поділитись на інші сайти

    не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

     

    Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

     

    Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

     

    но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

     

    мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

     

    Что-то подобное я сварганил на рботе, в качестве теста....но на границу меня не пускают ;)

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    подобное? опишы...
    Посилання на коментар
    Поділитись на інші сайти

    подобное? опишы...

     

    получилась такая связка

    snort+BASE+apache2+php5+mysql (BASE замена ACID)

    Правда он стоит на моей машине и не может отследить все пакеты сети, но частично вылавливает...

    ВЫчитал в книге такую штуку, как fwsnort (жаль в портежах нет), эта штуковина генерит на основании правил snort правила iptables, а я тут надумал пробовать самому пробовать писать....

    Змінено користувачем shrikes

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    получилась такая связка

    snort+BASE+apache2+mysql

    Правда он стоит на моей машине и не может отследить все пакеты сети, но частично вылавливает...

    ВЫчитал в книге такую штуку, как fwsnort (жаль в портежах нет), эта штуковина генерит на основании правил snort правила iptables, а я тут надумал пробовать самому пробовать писать....

     

    я смысла не пойму?! зачем тебе снорт?
    Посилання на коментар
    Поділитись на інші сайти

    я смысла не пойму?! зачем тебе снорт?

     

    Это по работе, может в скором будущем эту штуку внедрим...а товсе что в сети есть это файерволы и антивирусы...малова-то как по мне

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    Это по работе, может в скором будущем эту штуку внедрим...а товсе что в сети есть это файерволы и антивирусы...малова-то как по мне

     

    её бы неплохо тестить уже на рабочей тачке. в большинстве случаев её ставили на границу (то есть на комп который был точкой доступа в инет), для отлова вторжений. а втнутри думаю незачем его ставить.
    Посилання на коментар
    Поділитись на інші сайти

    её бы неплохо тестить уже на рабочей тачке. в большинстве случаев её ставили на границу (то есть на комп который был точкой доступа в инет), для отлова вторжений. а втнутри думаю незачем его ставить.

     

    Читал, есть схема ставят несколько сенсоров, перед файерволом и за файерволом, чтобы знать что проходит, а что блокируеться!

    Есть еще одна, весьма интересная, ставят перед файерволом как сетевой мост, тоесть он ловит пакеты, санирует их, но его не видно в сети!

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    это тебя не обходит...

     

    ха-ха-ха :)

     

    расцени за сьезд, а я разценю твое оправдание перед начальством тоже за сьезд...

     

    выпуская кольца дыма....травой поделись- может тогда я тебя пойму.. :)

    Змінено користувачем Dart
    Посилання на коментар
    Поділитись на інші сайти

    кстати...лог...

    
    [**] [122:19:0] (portscan) UDP Portsweep [**]
    10/06-00:54:00.093926 192.168.1.31 -> 192.168.6.47
    PROTO255 TTL:0 TOS:0xC0 ID:35603 IpLen:20 DgmLen:165
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:54:17.748560 192.168.6.38:1057 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:1223 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:54:20.768657 192.168.6.38:1057 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:1262 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:54:23.770573 192.168.6.38:1057 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:1307 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:57:10.476386 10.1.1.30:3582 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:32669 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [122:19:0] (portscan) UDP Portsweep [**]
    10/06-00:57:11.832315 192.168.46.88 -> 192.168.6.47
    PROTO255 TTL:0 TOS:0xC0 ID:62410 IpLen:20 DgmLen:162
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:57:13.475337 10.1.1.30:3582 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:32695 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:57:16.475493 10.1.1.30:3582 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:32773 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:57:51.574777 192.168.6.229:1039 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:119 IpLen:20 DgmLen:161
    Len: 133
    
    [**] [1:1917:6] SCAN UPnP service discover attempt [**]
    [Classification: Detection of a Network Scan] [Priority: 3] 
    10/06-00:57:54.603516 192.168.6.229:1039 -> 239.255.255.250:1900
    UDP TTL:1 TOS:0x0 ID:121 IpLen:20 DgmLen:161
    Len: 133
    

    Предлагаю банить за сканирование портов где-то от года и выше...

    Посилання на коментар
    Поділитись на інші сайти

     

     

    Предлагаю банить за сканирование портов где-то от года и выше...

     

    Ты не спеши с выводами, половина сканирований это работа сетевых приложений или вирусов, вот если было в логе к примеру NMAP scan, можно что-то говорить :)! Змінено користувачем shrikes

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    Соглпсен.. :)

     

    Хочешь для теста как-нить тебя просканю по полной :)?

    http://www.weblancer.net/users/shrikes/

    - мое портфолио

    Посилання на коментар
    Поділитись на інші сайти

    ×
    ×
    • Створити...

    Важлива інформація

    Використовуючи цей сайт, Ви погоджуєтеся з нашими Умови використання, Політика конфіденційності, Правила, Ми розмістили cookie-файлы на ваш пристрій, щоб допомогти зробити цей сайт кращим. Ви можете змінити налаштування cookie-файлів, або продовжити без зміни налаштувань..