snort

new_nOOb · Apprentice Joined: 05 Mar 2004 Posts: 280

hallo hab wieder ne bestimmt tolle dau frage..
lasse bei mir snort laufen ..leider steht in den log´s sehr oft als source adresse meine eigene

ich würde diese ja dynamisch vergeben adresse gerne ausschließen beim loggen.
weiß jemand wie ich das anstelle??

danke im vorraus

new_nOOb · Apprentice Joined: 05 Mar 2004 Posts: 280

hat niemand ne idee ? oder hab ich mich nurr blöd ausgedrückt?

think4urs11 · Posted: Thu Jul 29, 2004 1:30 pm Post subject:

Wie hast du Snort denn konfiguriert?
Hast du var HOME_NET $eth0_ADDRESS gesetzt?

Zeig doch mal deine snort.conf - grep -v ^# /etc/snort/snort.conf | grep '.' bitte dann wirds nicht so lang.

HTH
T.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

new_nOOb · Apprentice Joined: 05 Mar 2004 Posts: 280

hab das irgendwie net so recht verstanden in der anleitung.. eth1 is meine karte nach draußen (also ja external ne) und eht0 für den rest des netzwerkes.. also home ... aber das hat bei mir auch net so recht geklapt

var HOME_NET any
var EXTERNAL_NET any
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]
var RULE_PATH /etc/snort
preprocessor flow: stats_interval 0 hash 2
preprocessor frag2
preprocessor stream4: disable_evasion_alerts
preprocessor stream4_reassemble
preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252
preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8180 } oversize_dir_length 500
preprocessor rpc_decode: 111 32771
preprocessor bo
preprocessor telnet_decode
output database: alert, mysql, user=snort password=m24021981 dbname=snort host=localhost
include classification.config
include reference.config
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/porn.rules
include $RULE_PATH/info.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/virus.rules

holla die waldfee · Tux's lil' helper Joined: 17 Sep 2003 Posts: 85

RTFM mensch, echt jetzt. :!:

setz mal bei

Marlo · Veteran Joined: 26 Jul 2003 Posts: 1591

Empfehlungen sind nur mit Vorsicht zu geben. Läuft bei dir ein Nameserver ?
_________________
------------------------------------------------------------------
http://radio.garden/

think4urs11 · Posted: Thu Jul 29, 2004 8:52 pm Post subject:

ich empfehle hier (dringend) das lesen+verstehen von Snort User Manual
darin sollten eigentlich alle wichtigen Punkte abgehandelt sein; habs schon länger nicht mehr gelesen.
Außerdem evtl. noch weiteres von der Snort Doku-Seite

Falls dann noch Fragen übrig sind, jederzeit gerne :-)

HTH
T.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself

Marlo · Veteran Joined: 26 Jul 2003 Posts: 1591

Excuse me Ma`m,
kommen wir doch ohne Vorrede gleich zur Sache.
Worauf sollen die dunklen Andeutungen hindeuten ? Konkret bitte !
_________________
------------------------------------------------------------------
http://radio.garden/

think4urs11 · Posted: Thu Jul 29, 2004 9:21 pm Post subject:

Kein Grund sich gleich auf die Zehen getreten zu fühlen.

Ich meinte eigentlich new_n00b und nicht dich. Basierend auf der conf die er hat ist das alles noch ziemlich 'default'.
Und deswegen der (zugegeben recht direkte) Hinweis auf die Dokus dies bei snort.org so gibt.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself