PDA

Bekijk de volledige versie : Использование Snort на Asus WL-500gP



Lupo_Alberto
28-08-2008, 11:05
Имеет ли кто-нибудь из уважаемых форумчан опыт использования Snort на Asus WL-500gP?
Буду благодарен за любую информацию по данной теме (ссылки, файлы конфигурации и правил).

sda
30-08-2008, 21:03
я устанавливал c репозитария, запускал так
/opt/bin/snort -A full -i ppp0 -l /opt/var/log/snort/alert -c /opt/etc/snort.conf -s
конфиг был такой
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET !$HOME_NET
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var TELNET_SERVERS $HOME_NET
var SNMP_SERVERS $HOME_NET
var HTTP_PORTS 80
var SHELLCODE_PORTS !80
var ORACLE_PORTS 1521
var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]
var RULE_PATH /opt/etc/snort/rules

#dynamicpreprocessor directory /
#dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
#dynamicdetection directory /usr/local/lib/snort_dynamicrule/

#config disable_decode_alerts
config enable_decode_oversized_alerts
config detection: search-method ac-bnfa
config order: pass alert log activation

#preprocessor flow: stats_interval 0 hash 2
#preprocessor frag2
#preprocessor frag3_global: max_frags 65536
#preprocessor frag3_engine: policy first detect_anomalies
#preprocessor stream4: disable_evasion_alerts detect_scans


preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp yes
preprocessor stream5_tcp: policy first, use_static_footprint_sizes
preprocessor stream5_udp:
preprocessor http_inspect: global \
iis_unicode_map /opt/etc/snort/unicode.map 1252

preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8081 } oversize_dir_length 500
preprocessor bo

preprocessor sfportscan: proto { all } \
memcap { 10000000 } \
sense_level { low }

preprocessor arpspoof
#preprocessor xlink2state: ports { 25 691 }


#output alert_fwsam: 127.0.0.1:888/snort
#output database: alert, mysql, user=snort password=snort dbname=snort_db host=localhost

output alert_syslog: LOG_AUTH LOG_ALERT
output database: log, mysql, user=snort password=snort dbname=snort_db host=localhost

output alert_unified: filename snort.alert, limit 128
output log_unified: filename snort.log, limit 128

include /opt/etc/snort/classification.config
include /opt/etc/snort/reference.config

include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/exploit.rules
#include $RULE_PATH/scan.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
#include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
#include $RULE_PATH/dos.rules
#include $RULE_PATH/ddos.rules
#include $RULE_PATH/dns.rules
#include $RULE_PATH/tftp.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
#include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/icmp.rules
include $RULE_PATH/netbios.rules
#include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/mysql.rules
#include $RULE_PATH/snmp.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/experimental.rules

include /opt/etc/snort/threshold.conf
До конца я не разобрался, может тут и неправильно чего, но логи писал, только не понял в каком формате и кодировке:), а анализатор я так и не поставил. Посмотри я выложил, все что накопал ftp://styxnout.homeip.net/Public/soft/snort/

Lupo_Alberto
30-08-2008, 21:25
Спасибо, буду разбираться :)

rich
26-09-2008, 14:57
Ребят, тема интересная, если кто разобрался, буду рад услышать хоть чтото

slashi
14-11-2008, 19:22
Поставил с этим конфигом, замечательно работает. Логив указанную директорию пишутся действительно в "особом формате" для последующего анализа, т.е. по сути дела это лог атакующего пакета. Ну а если глянуть в syslog - то там как и положено, нормальные алерты об атаках. А еще я запускал "-A fast" вместо full и после "-s" ключ "-p" чтоб в promicuous mode не переводить интерфейс

matrix200
25-11-2008, 08:46
Уважаемый slashi можете ли вы сказать какая была нагрузка на процессор во время работы?
Какая скорость вашего подключения к Интернет?

По поводу доп. логов , Я думаю разумно переправлять их на другой сервер на котором можно запускать BASE http://base.secureideas.net/
для анализа логов.
И еще один вопрос :
Вы наладили постоянное обновление ruleseta?

matrix200
29-11-2008, 22:14
Ставил с http://ipkg.nslu2-linux.org/feeds/optware/oleg/cross/stable/ вручную.
Сгрузил ipk на флешку и поставил.
Пробовал и /opt/bin/snort и cd /opt/bin ./snort .
Может необходимо ставить из сорсов?

lly
30-11-2008, 08:44
matrix200
Не хватает каких-то библиотек, смотри зависимости в описании пакета. Если на большом Linux'e развернут toolchain, можешь проверить это при помощи mipsel-uclibc-ldd

matrix200
30-11-2008, 09:26
Как оказалось была неправильная uclibc :)
Теперь другая проблема.
Как кажется не пишутся логи в mysql который бежит на другой машине (Fedora Core 8 mysql 5.0.45)
Строка определяющая доступ к базе данных такая :
output database: alert, mysql, user=snort password=mypass dbname=snort host= x.x.x.x
Когда смотрю на статус сервера не вижу что есть connection с ip Асуса.
Логи на флешке создались и был один алерт :)
Также странно что nmap запущенный снаружи не добавил абсолютно ничего к логу.
ОК теперь ясно что Snort работает но mysql модуль нет :(
После того как я поставил на snfportscan sense_level high он смог распознать nmap.
Тем не менее в mysql ничего не записалось :(
Лог показал следующее :
Nov 30 20:04:13 snort[4263]: database: 'mysql' support is not compiled into this build of snort
Nov 30 20:04:13 snort[4263]: FATAL ERROR: If this build of snort was obtained as a binary distribution (e.g., rpm, or Windows), then check for alternate builds that contains the necessary 'mysql' support. If this build of snort was compiled "
Неужели придется самому компилить из исходников?

matrix200
30-11-2008, 20:20
Я сделал
svn co http://svn.nslu2-linux.org/svnroot/optware/trunk optware
cd optware
export OPTWARE_TARGET=oleg

Добавил --with-mysql к ./configure
и сделал
make snort

Он начинает приносить различные файлы и всегда падает , каждый раз на другом файле :(
Например :
A buildroot/toolchain/binutils/2.15
svn: Connection closed unexpectedly
make: *** [/crosscompile/optware/downloads/buildroot-svn-17310.tar.gz] Error 1

Существует ли способ сгрузить дерево сорсов не через svn?
Может готовый тар?

matrix200
01-12-2008, 18:08
После того как я смог скомпилировать тулчейн на другой машине , мне удалось перекомпилоровать снорта с поддержкой mysql.


После этого я скопировал бинарник в /opt/bin и libmysqlclient.so.14 в /opt/lib и все заработало :)

Теперь хотелось бы сделать ipk чтобы другие не мучались как пришлось мне :)
Буду благодарен если кто нибудь укажет на какой нибудь туториал по созданию ipk файлов.

root_asus
16-02-2009, 19:20
Всем Здравствуйте.
Подскажи пожалуйста с у кого есть опыт установки snort на asus WL-500gP. Поделитесь опытом, подскажите с чего начать, выложите ссылки на то что уже накопали, и если у кого заработало то подскажите как с производительностью после установки Snort.
Заранее СПАСИБО!!!