Snort и методы графического отображения результатов наблюдения

[shrikes 0]

Все кто имеет опыт работы со Snort, посоветуйте, с чем лучше скрутить Snort, чтобы можно было в веб-формате или еще как-то так сказать созерцать то, что он журналирует....

[shrikes 0]

Нашел неплохую связку - Snort+Mysql+BASE

BASE - это что-то вроде ACID

Из последних портежей ACID исключен, незнаю почему...если есть интерес, спрашивайте подскажу!

[hamilok 1]

MySql в связке не совсем коректно использовать, так как это нарушает безопасность и главный смысл Snort'а...

 

если вырисовать смысловую структуру системы этой связки, то все станет ясно...

 

это всего лишь мое предположение и предложение будет таким:

- сделать демона который бы служыл лог-сервером для Snort;

- научить Snort работать с этим демоном;

 

Неплохо было бы в демоне реализовать:

- входные очередя с приоритетами и типами;

- потипную запись в файлы (я бы файлы именовал с штампом даты);

 

главное не забывать о смене даты и начинать писать в новый файл... это все в дальнейшем будет "аспирином" для админа...

 

З.Ы. готов выслушать критику %)

Змінено 26 серпня, 2006 користувачем ТЬоХKа_РоЖеВИм_СОн

[shrikes 0]

MySql в связке не совсем коректно использовать, так как это нарушает безопасность и главный смысл Snort'а...

 

если вырисовать смысловую структуру системы этой связки, то все станет ясно...

 

это всего лишь мое предположение и предложение будет таким:

- сделать демона который бы служыл лог-сервером для Snort;

- научить Snort работать с этим демоном;

 

Неплохо было бы в демоне реализовать:

- входные очередя с приоритетами и типами;

- потипную запись в файлы (я бы файлы именовал с штампом даты);

 

главное не забывать о смене даты и начинать писать в новый файл... это все в дальнейшем будет "аспирином" для админа...

 

З.Ы. готов выслушать критику %)

 

Я не программист, поэтому научить не смогу, единствнное что приходит на ум из того что я прочитал, это barnyad...но он тоже ложит все в базы...и еще, безопасность имеет смысл обсждать, если snort ставить на границе сети, но есть вариант, когда snort ітавят без присваивания адреса с использованием сетевой ловушки, наверное обьяснять не надо...если так, то я думаю вопрос отпадает....

 

если есть опіт поделись...мне будет интересно!!!

[hamilok 1]

не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

 

Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

 

Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

 

но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

 

мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

[tux 0]

не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

 

Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

 

Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

 

но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

 

мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

 

Ты забыл добавить что любовь к мелкомягким у тебя только при цене софта 12 гривен за компакт диск.

[Гість Dart]

ОФФТОП :: Помечено автором как несоответствующее данной теме

Alexander, интересно, у тебя весь софт лицензионнный дома ??

[hamilok 1]

Ты забыл добавить что любовь к мелкомягким у тебя только при цене софта 12 гривен за компакт диск.

 

ты не прав... причем в корне...

[Гість Dart]

Ты покупаешь на петровке за двадцать ??? Это корень ??

[hamilok 1]

Ты покупаешь на петровке за двадцать ??? Это корень ??

 

это тебя не обходит...

 

расцени за сьезд, а я разценю твое оправдание перед начальством тоже за сьезд...

[shrikes 0]

не подумай что я гоню, но смысл братся за открытые системы если ты не программист? %)

 

Snort на "границу", базу вовнутрь и закрыть её видимость из вне на "гарнице"...

 

Snort с хорошыми Rules + PF + база внутри есть ЖЫР... и если в сети есть несколько "границ", то все их сводим на одну базу... где так же неплохо поставить апачик + пхп для отображения графиков и прочего нехорошего...

 

но это все чисто для не программиста и для открытых систем и токлу меньше чем гимора...

 

мой выбор МАЙКРОСОФТ, хотя побаловатся всегда не против с другими системами...

 

Что-то подобное я сварганил на рботе, в качестве теста....но на границу меня не пускают

[hamilok 1]

подобное? опишы...

[shrikes 0]

подобное? опишы...

 

получилась такая связка

snort+BASE+apache2+php5+mysql (BASE замена ACID)

Правда он стоит на моей машине и не может отследить все пакеты сети, но частично вылавливает...

ВЫчитал в книге такую штуку, как fwsnort (жаль в портежах нет), эта штуковина генерит на основании правил snort правила iptables, а я тут надумал пробовать самому пробовать писать....

Змінено 3 жовтня, 2006 користувачем shrikes

[hamilok 1]

получилась такая связка

snort+BASE+apache2+mysql

Правда он стоит на моей машине и не может отследить все пакеты сети, но частично вылавливает...

ВЫчитал в книге такую штуку, как fwsnort (жаль в портежах нет), эта штуковина генерит на основании правил snort правила iptables, а я тут надумал пробовать самому пробовать писать....

 

я смысла не пойму?! зачем тебе снорт?

[shrikes 0]

я смысла не пойму?! зачем тебе снорт?

 

Это по работе, может в скором будущем эту штуку внедрим...а товсе что в сети есть это файерволы и антивирусы...малова-то как по мне

[hamilok 1]

Это по работе, может в скором будущем эту штуку внедрим...а товсе что в сети есть это файерволы и антивирусы...малова-то как по мне

 

её бы неплохо тестить уже на рабочей тачке. в большинстве случаев её ставили на границу (то есть на комп который был точкой доступа в инет), для отлова вторжений. а втнутри думаю незачем его ставить.

[shrikes 0]

её бы неплохо тестить уже на рабочей тачке. в большинстве случаев её ставили на границу (то есть на комп который был точкой доступа в инет), для отлова вторжений. а втнутри думаю незачем его ставить.

 

Читал, есть схема ставят несколько сенсоров, перед файерволом и за файерволом, чтобы знать что проходит, а что блокируеться!

Есть еще одна, весьма интересная, ставят перед файерволом как сетевой мост, тоесть он ловит пакеты, санирует их, но его не видно в сети!

[Гість Dart]

это тебя не обходит...

 

ха-ха-ха

 

расцени за сьезд, а я разценю твое оправдание перед начальством тоже за сьезд...

 

выпуская кольца дыма....травой поделись- может тогда я тебя пойму..

Змінено 5 жовтня, 2006 користувачем Dart

[Гість Dart]

кстати...лог...

[**] [122:19:0] (portscan) UDP Portsweep [**]
10/06-00:54:00.093926 192.168.1.31 -> 192.168.6.47
PROTO255 TTL:0 TOS:0xC0 ID:35603 IpLen:20 DgmLen:165

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:54:17.748560 192.168.6.38:1057 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:1223 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:54:20.768657 192.168.6.38:1057 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:1262 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:54:23.770573 192.168.6.38:1057 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:1307 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:57:10.476386 10.1.1.30:3582 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:32669 IpLen:20 DgmLen:161
Len: 133

[**] [122:19:0] (portscan) UDP Portsweep [**]
10/06-00:57:11.832315 192.168.46.88 -> 192.168.6.47
PROTO255 TTL:0 TOS:0xC0 ID:62410 IpLen:20 DgmLen:162

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:57:13.475337 10.1.1.30:3582 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:32695 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:57:16.475493 10.1.1.30:3582 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:32773 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:57:51.574777 192.168.6.229:1039 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:119 IpLen:20 DgmLen:161
Len: 133

[**] [1:1917:6] SCAN UPnP service discover attempt [**]
[Classification: Detection of a Network Scan] [Priority: 3] 
10/06-00:57:54.603516 192.168.6.229:1039 -> 239.255.255.250:1900
UDP TTL:1 TOS:0x0 ID:121 IpLen:20 DgmLen:161
Len: 133

Предлагаю банить за сканирование портов где-то от года и выше...

[shrikes 0]

 

 

Предлагаю банить за сканирование портов где-то от года и выше...

 

Ты не спеши с выводами, половина сканирований это работа сетевых приложений или вирусов, вот если было в логе к примеру NMAP scan, можно что-то говорить ! Змінено 6 жовтня, 2006 користувачем shrikes

[Гість Dart]

Соглпсен..

[shrikes 0]

Соглпсен..

 

Хочешь для теста как-нить тебя просканю по полной ?

[Гість Dart]

давай )