Èñïîëüçîâàíèå Snort íà Asus WL-500gP

[Lupo_Alberto]

Èìååò ëè êòî-íèáóäü èç óâàæàåìûõ ôîðóì÷àí îïûò èñïîëüçîâàíèÿ Snort íà Asus WL-500gP?
Áóäó áëàãîäàðåí çà ëþáóþ èíôîðìàöèþ ïî äàííîé òåìå (ññûëêè, ôàéëû êîíôèãóðàöèè è ïðàâèë).

[sda]

ÿ óñòàíàâëèâàë c ðåïîçèòàðèÿ, çàïóñêàë òàê

PHP Code:

/opt/bin/snort -A full -i ppp0 -l /opt/var/log/snort/alert -c /opt/etc/snort.conf -s 


êîíôèã áûë òàêîé

PHP Code:

var HOME_NET 192.168.1.0/24
var EXTERNAL_NET !$HOME_NET
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /opt/etc/snort/rules

#dynamicpreprocessor directory /
#dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
#dynamicdetection directory /usr/local/lib/snort_dynamicrule/

#config disable_decode_alerts
config enable_decode_oversized_alerts
config detection: search-method ac-bnfa
config order: pass alert log activation

#preprocessor flow: stats_interval 0 hash 2
#preprocessor frag2
#preprocessor frag3_global: max_frags 65536
#preprocessor frag3_engine: policy first detect_anomalies
#preprocessor stream4: disable_evasion_alerts detect_scans


preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp yes
preprocessor stream5_tcp: policy first, use_static_footprint_sizes
preprocessor stream5_udp:
preprocessor http_inspect: global \
iis_unicode_map /opt/etc/snort/unicode.map 1252
 
preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8081 } oversize_dir_length 500
preprocessor bo

preprocessor sfportscan: proto { all } \
memcap { 10000000 } \
sense_level { low }

preprocessor arpspoof
#preprocessor xlink2state: ports { 25 691 }


#output alert_fwsam: 127.0.0.1:888/snort
#output database: alert, mysql, user=snort password=snort dbname=snort_db host=localhost

output alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort password=snort dbname=snort_db host=localhost

output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 128

include /opt/etc/snort/classification.config
include /opt/etc/snort/reference.config

include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/exploit.rules
#include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
#include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
#include $RULE_PATH/dos.rules
#include $RULE_PATH/ddos.rules
#include $RULE_PATH/dns.rules
#include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
#include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
#include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/mysql.rules
#include $RULE_PATH/snmp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/experimental.rules

include /opt/etc/snort/threshold.conf 


Äî êîíöà ÿ íå ðàçîáðàëñÿ, ìîæåò òóò è íåïðàâèëüíî ÷åãî, íî ëîãè ïèñàë, òîëüêî íå ïîíÿë â êàêîì ôîðìàòå è êîäèðîâêå, à àíàëèçàòîð ÿ òàê è íå ïîñòàâèë. Ïîñìîòðè ÿ âûëîæèë, âñå ÷òî íàêîïàë ftp://styxnout.homeip.net/Public/soft/snort/

[Lupo_Alberto]

Ñïàñèáî, áóäó ðàçáèðàòüñÿ

[rich]

Ðåáÿò, òåìà èíòåðåñíàÿ, åñëè êòî ðàçîáðàëñÿ, áóäó ðàä óñëûøàòü õîòü ÷òîòî

[slashi]

Ïîñòàâèë ñ ýòèì êîíôèãîì, çàìå÷àòåëüíî ðàáîòàåò. Ëîãèâ óêàçàííóþ äèðåêòîðèþ ïèøóòñÿ äåéñòâèòåëüíî â "îñîáîì ôîðìàòå" äëÿ ïîñëåäóþùåãî àíàëèçà, ò.å. ïî ñóòè äåëà ýòî ëîã àòàêóþùåãî ïàêåòà. Íó à åñëè ãëÿíóòü â syslog - òî òàì êàê è ïîëîæåíî, íîðìàëüíûå àëåðòû îá àòàêàõ. À åùå ÿ çàïóñêàë "-A fast" âìåñòî full è ïîñëå "-s" êëþ÷ "-p" ÷òîá â promicuous mode íå ïåðåâîäèòü èíòåðôåéñ

[matrix200]

Óâàæàåìûé slashi ìîæåòå ëè âû ñêàçàòü êàêàÿ áûëà íàãðóçêà íà ïðîöåññîð âî âðåìÿ ðàáîòû?
Êàêàÿ ñêîðîñòü âàøåãî ïîäêëþ÷åíèÿ ê Èíòåðíåò?

Ïî ïîâîäó äîï. ëîãîâ , ß äóìàþ ðàçóìíî ïåðåïðàâëÿòü èõ íà äðóãîé ñåðâåð íà êîòîðîì ìîæíî çàïóñêàòü BASE http://base.secureideas.net/
äëÿ àíàëèçà ëîãîâ.
È åùå îäèí âîïðîñ :
Âû íàëàäèëè ïîñòîÿííîå îáíîâëåíèå ruleseta?

[matrix200]

Ñòàâèë ñ http://ipkg.nslu2-linux.org/feeds/op.../cross/stable/ âðó÷íóþ.
Ñãðóçèë ipk íà ôëåøêó è ïîñòàâèë.
Ïðîáîâàë è /opt/bin/snort è cd /opt/bin ./snort .
Ìîæåò íåîáõîäèìî ñòàâèòü èç ñîðñîâ?

[lly]

matrix200
Íå õâàòàåò êàêèõ-òî áèáëèîòåê, ñìîòðè çàâèñèìîñòè â îïèñàíèè ïàêåòà. Åñëè íà áîëüøîì Linux'e ðàçâåðíóò toolchain, ìîæåøü ïðîâåðèòü ýòî ïðè ïîìîùè mipsel-uclibc-ldd

[matrix200]

Как оказалось была неправильная uclibc
Теперь другая проблема.
Как кажется не пишутся логи в mysql который бежит на другой машине (Fedora Core 8 mysql 5.0.45)
Строка определяющая доступ к базе данных такая :
output database: alert, mysql, user=snort password=mypass dbname=snort host= x.x.x.x
Когда смотрю на статус сервера не вижу что есть connection с ip Асуса.
Логи на флешке создались и был один алерт
Также странно что nmap запущенный снаружи не добавил абсолютно ничего к логу.
ОК теперь ясно что Snort работает но mysql модуль нет
После того как я поставил на snfportscan sense_level high он смог распознать nmap.
Тем не менее в mysql ничего не записалось
Лог показал следующее :
Nov 30 20:04:13 snort[4263]: database: 'mysql' support is not compiled into this build of snort
Nov 30 20:04:13 snort[4263]: FATAL ERROR: If this build of snort was obtained as a binary distribution (e.g., rpm, or Windows), then check for alternate builds that contains the necessary 'mysql' support. If this build of snort was compiled "
Неужели придется самому компилить из исходников?

[matrix200]

ß ñäåëàë
svn co http://svn.nslu2-linux.org/svnroot/optware/trunk optware
cd optware
export OPTWARE_TARGET=oleg

Äîáàâèë --with-mysql ê ./configure
è ñäåëàë
make snort

Îí íà÷èíàåò ïðèíîñèòü ðàçëè÷íûå ôàéëû è âñåãäà ïàäàåò , êàæäûé ðàç íà äðóãîì ôàéëå
Íàïðèìåð :
A buildroot/toolchain/binutils/2.15
svn: Connection closed unexpectedly
make: *** [/crosscompile/optware/downloads/buildroot-svn-17310.tar.gz] Error 1

Ñóùåñòâóåò ëè ñïîñîá ñãðóçèòü äåðåâî ñîðñîâ íå ÷åðåç svn?
Ìîæåò ãîòîâûé òàð?

[matrix200]

Ïîñëå òîãî êàê ÿ ñìîã ñêîìïèëèðîâàòü òóë÷åéí íà äðóãîé ìàøèíå , ìíå óäàëîñü ïåðåêîìïèëîðîâàòü ñíîðòà ñ ïîääåðæêîé mysql.


Ïîñëå ýòîãî ÿ ñêîïèðîâàë áèíàðíèê â /opt/bin è libmysqlclient.so.14 â /opt/lib è âñå çàðàáîòàëî

Òåïåðü õîòåëîñü áû ñäåëàòü ipk ÷òîáû äðóãèå íå ìó÷àëèñü êàê ïðèøëîñü ìíå
Áóäó áëàãîäàðåí åñëè êòî íèáóäü óêàæåò íà êàêîé íèáóäü òóòîðèàë ïî ñîçäàíèþ ipk ôàéëîâ.

[root_asus]

Âñåì Çäðàâñòâóéòå.
Ïîäñêàæè ïîæàëóéñòà ñ ó êîãî åñòü îïûò óñòàíîâêè snort íà asus WL-500gP. Ïîäåëèòåñü îïûòîì, ïîäñêàæèòå ñ ÷åãî íà÷àòü, âûëîæèòå ññûëêè íà òî ÷òî óæå íàêîïàëè, è åñëè ó êîãî çàðàáîòàëî òî ïîäñêàæèòå êàê ñ ïðîèçâîäèòåëüíîñòüþ ïîñëå óñòàíîâêè Snort.
Çàðàíåå ÑÏÀÑÈÁÎ!!!