[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [linux] Snort-lib
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Salut,
Doc introduction snort :
Article sur snort (Introduction) : http://www.freeos.com/articles/3496/
Basic Usage of snort :
http://www.securityfocus.com/frames/?focus=linux&content=/focus/linux/articles/l
inux-snort.html
http://www.crud.net/doc/snort/
http://www.linux.ie/articles/portsentryandsnortcompared.php
Voici quelques exemples de doc d'introduction.
le 'var EXTERNAL_NET' est souvent placé avec "any" car dans la majorité des cas
de connais la source de tes intrusions.
Si tu veux que l'on puisse voir ce qui ne va pas dans ta config, il faudrait
envoyer ton snort.conf ainsi que tes .rules.
Une source d'information est aussi la mailing-list snort (et ses archives).
Si tu as la version 1.7, tout est indiqué clairement dans le fichier de conf.
Mais il faut avant tout bien comprendre le principe d'un NIDS :
http://www.foo.be/IDS/
Hope this helps.
Alx
PS : N'hésite pas à m'envoyer ta config si cela ne fonctionne pas.
PS2: J'ai un paquet de sites tournant avec snort et avec des extensions que l'on
a ajouté et cela marche très bien 8-)
On 30-Apr-2001 abarthel wrote:
> Bonjour,
>
> Ci-dessous partie du fichier /etc/snort-lib tel que je l'ai configuré:
>
> Je suppose que la variavle $HOME_NET s'applique à mon réseau intérieur. Celui
> a l'adresse 192.168.1.32 masque 255.255.255.224 donc $HOME_NET =
> 192.168.1.32/27.
> Pouvez=vous confirmer ou infirmer. Comme déjà dit précédemment il n'y a pas
> de doc claire pour snort.
>
> Pour la variable EXTERNAL_NET, j'hésite car ma connexion adsl se fait via le
> port eth0, adresse statique 192.168.1.1 => ppp0, adresse dynamique. Quelle
> adresse dois-je encod
># Woo hoo! Ip defragmentation support from Dragos Ruiu! It doesn't work well
># under Solaris yet (there are some word alignment issues), but all most
># other platforms are reported stable right now. Uncomment the followinger
> pour EXTERNAL_NET?
> Merci pour toute suggestion.
>
> Pour lancer snort en background avec log, j'ai tapé:
>
>#>snort -d -h 192.168.1.32/27 -l /var/log/snort -c /etc/snort/snort-lib &
>
> en espérant avoir des log dans /var/log/snort.
> Ai=je fait correctement. Y-a-t-il un habitué de snort qui peut me tuyauter +
> site web ou autre avec des docs claires sur snort (pas ww.snort.org).
>
> Merci
> Alain
>
> var DNS_SERVER: j'ai encodé 195.238.2.21 195.238.2.22 càd les adresses DNS de
> Skynet (adsl) en laissant un espace entre les deux adresses. Ai-je bien fait
> ainsi, toujours pas clair dans les docs inexistantes.
>
>
> Merci
>
># Database logging plugin. See the documentation in the spo_log_database.c
># file for more information on configuring and using this module. Pick
># your favorite!
>
># output log_database: postgresql, user=snort dbname=snort
># output log_database: mysql, user=snort dbname=snort host=localhost
># output log_database: unixodbc, user=snort dbname=snort
>
># line to activate ip defrag.
>
> preprocessor defrag
>
># http_decode takes the port numbers that it's going to analyze as arguments
># traffic on these ports will be sent through the http_decode routine for
># normalization
>
> preprocessor http_decode: 80 8080
>
># minfrag takes the minimum fragment size (in bytes) threshold as its argument
># fragmented packets at of below this size will cause an alert to be generated
>
> preprocessor minfrag: 128
>
># set the HOME_NET variable for your own network
>
>###############################################################################
># SET THIS VARIABLE TO COVER YOUR OWN NETWORK RANGE!!!!
>###############################################################################
> var HOME_NET 192.168.1.32/27
>
>###############################################################################
># SET THIS VARIABLE TO COVER YOUR OWN EXTERNAL RANGE!!!!
>###############################################################################
> var EXTERNAL_NET 192.168.1.1
>
># set your DNS server IP (or whatever) so you don't show "portscans" from
># that address
>
>###############################################################################
># SET THIS VARIABLE TO AS IT APPLIES TO YOUR NETWORK!!!!
>###############################################################################
> var DNS_SERVER 195.238.2.21 195.238.2.22
>
># portscan plugin by Patrick Mullen <p_mullen@linuxrc.net>
>
># This detects UDP packets or TCP SYN packets
># going to seven different ports in less than two seconds.
># "Stealth" TCP packets are always detected, regardless
># of these settings.
>
> preprocessor portscan: $HOME_NET 4 3 /var/log/portscan.log
>
># ignorehosts is set to ignore TCP SYN and UDP "scans" from
># your home net by default to reduce false alerts. However,
># for maximum benefit it should be tweaked to only include /etc/snort/a
># whitespace-delimited list of only your noisiest servers/hosts.
>
> preprocessor portscan-ignorehosts: $DNS_SERVER
>
> --
> Alain Barthélemy
>
> Privé:
> bartydeux@gminformatique.com
> http://bartydeux.gminformatique.com
>
> ======================================================
> Jules a dit un jour:
> "Le ciel est vert"
> Jules a raison comme peut avoir raison une personne
> sur cinq milliards.
> ======================================================
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
> [ http://LinuxBe.org Contact: listmaster@linuxbe.org ]
Alexandre Dulaunoy
http://www.foo.be/
AD993-RIPE
"It is ridiculous claiming that video games influence
children. For instance, if Pac-man affected kids born
in the eighties, we should by now have a bunch of
teenagers who run around in darkened rooms and eat
pills while listening to monotonous electronic music."
Anonymous...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.4 (GNU/Linux)
Comment: Where is my key ? http://www.foo.be/key.txt
iD8DBQE67mEYaY1aKQ+qq/4RAsEeAJ96SjAcmA8QY8wkiOfODzEmU3WvlACgtoBK
FrBzIBkuIuEgnyfb6amFJvk=
=g05Q
-----END PGP SIGNATURE-----
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]