[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Snort-lib



Bonjour,

Ci-dessous partie du fichier /etc/snort-lib tel que je l'ai configuré:

Je suppose que la variavle $HOME_NET s'applique à mon réseau intérieur. Celui 
a l'adresse 192.168.1.32 masque 255.255.255.224 donc $HOME_NET = 
192.168.1.32/27. 
Pouvez=vous confirmer ou infirmer. Comme déjà dit précédemment il n'y a pas 
de doc claire pour snort.

Pour la variable EXTERNAL_NET, j'hésite car ma connexion adsl se fait via le 
port eth0, adresse statique 192.168.1.1 => ppp0, adresse dynamique. Quelle 
adresse dois-je encod
# Woo hoo!  Ip defragmentation support from Dragos Ruiu!  It doesn't work well
# under Solaris yet (there are some word alignment issues), but all most
# other platforms are reported stable right now.  Uncomment the followinger 
pour EXTERNAL_NET?
Merci pour toute suggestion.

Pour lancer snort en background avec log, j'ai tapé:

#>snort -d -h 192.168.1.32/27 -l /var/log/snort -c /etc/snort/snort-lib &

en espérant avoir des log dans /var/log/snort.
Ai=je fait correctement. Y-a-t-il un habitué de snort qui peut me tuyauter + 
site web ou autre avec des docs claires sur snort (pas ww.snort.org).

Merci
Alain

var DNS_SERVER: j'ai encodé 195.238.2.21 195.238.2.22 càd les adresses DNS de 
Skynet (adsl) en laissant un espace entre les deux adresses. Ai-je bien fait 
ainsi, toujours pas clair dans les docs inexistantes.


Merci

# Database logging plugin.  See the documentation in the spo_log_database.c
# file for more information on configuring and using this module.  Pick
# your favorite!

# output log_database: postgresql, user=snort dbname=snort
# output log_database: mysql, user=snort dbname=snort host=localhost
# output log_database: unixodbc, user=snort dbname=snort

# line to activate ip defrag.

preprocessor defrag

# http_decode takes the port numbers that it's going to analyze as arguments
# traffic on these ports will be sent through the http_decode routine for
# normalization

preprocessor http_decode: 80 8080

# minfrag takes the minimum fragment size (in bytes) threshold as its argument
# fragmented packets at of below this size will cause an alert to be generated

preprocessor minfrag: 128

# set the HOME_NET variable for your own network

###############################################################################
# SET THIS VARIABLE TO COVER YOUR OWN NETWORK RANGE!!!!
###############################################################################
var HOME_NET 192.168.1.32/27

###############################################################################
# SET THIS VARIABLE TO COVER YOUR OWN EXTERNAL RANGE!!!!
###############################################################################
var EXTERNAL_NET 192.168.1.1

# set your DNS server IP (or whatever) so you don't show "portscans" from
# that address

###############################################################################
# SET THIS VARIABLE TO AS IT APPLIES TO YOUR NETWORK!!!!
###############################################################################
var DNS_SERVER 195.238.2.21 195.238.2.22

# portscan plugin by Patrick Mullen <p_mullen@linuxrc.net>

# This detects UDP packets or TCP SYN packets
# going to seven different ports in less than two seconds.
# "Stealth" TCP packets are always detected, regardless
# of these settings.

preprocessor portscan: $HOME_NET 4 3 /var/log/portscan.log

# ignorehosts is set to ignore TCP SYN and UDP "scans" from
# your home net by default to reduce false alerts.  However,
# for maximum benefit it should be tweaked to only include /etc/snort/a
# whitespace-delimited list of only your noisiest servers/hosts.

preprocessor portscan-ignorehosts: $DNS_SERVER

-- 
Alain Barthélemy

Privé:
bartydeux@gminformatique.com
http://bartydeux.gminformatique.com

======================================================
Jules a dit un jour:
"Le ciel est vert"
Jules a raison comme peut avoir raison une personne 
sur cinq milliards.
======================================================

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]