Detekcja wlamywaczy etc.
Tomasz Buziak
t.buziak w spzoz.lukow.pl
Wto, 1 Lip 2003, 11:01:55 CEST
Cytowanie Marteen <marteen w go2.pl>:
> Zainstalowalem tego snort;a. Czy wystarczy go uruchomic i ma dzialac?? czy
> jakos sie go jeszcze konfiguruje odnosnie interfejsow sieciowych na ktorych
> ma sprawdzac??
>
podajesz co jest tfoja siecia lokalna i co jest internetem, np w ten sposob:
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET !192.168.1.0/24
pozniej podajesz na jakich adresach sluchaja dane uslugi:
var DNS_SERVERS ipserwera/maksa
var SMTP_SERVERS ipserwera/maksa
var HTTP_SERVERS ipserwera/maksa
var SQL_SERVERS ipserwera/maksa
var TELNET_SERVERS ipserwera/maksa
reszta to konfiguracja logowania, regul i preprocesorow, tutaj warto podac
adresy ktore maja byc przez nie ignorowane, zeby snort ci nie logowal smieci, w
tej sprawie lepiej zajrzec do dokumentacji, jest tez pare artykulow polskich np.
znajdziesz jeden pod tym adresem http://echelon.pl/pubs/snort.html, jak sie
zakrecisz po necie za materialami z Pingwinariow 2003 to tez znajdziesz wyklad
na jego temat ...
wybranie interfejsu przez do nasluchu wybiera sie poprzez dodanie parametru przy
starcei snorta np: -i eth1 itp. ja musialem edytowac /etc/rc.d/init.d/snort zeby
wstawic tam nasluch na ppp0
do wizualizacji wynikow snorta chyba najbardziej nadaje sie ACID, oparty jest na
php, poszukaj go w googlu, wymaga mysqla i pare bibliotek do robienia wykresow itp.
na stronie snorta sa jeszcze inne sugerowane do tego narzedzia warto zajrzec
wlasnie tam najpierw.
--
pozdrawiam ...
Więcej informacji o liście dyskusyjnej pld-users-pl