ich habe mal eine frage zu snort. ich habe snort installiert läuft auch sowei, legt jeden tag schön seine log dateien an aber diese ohne irgendwelchen inhalt oder aufzeichnungen, was könnte die uhrsache seien, da snort bei mir ppp0 bewacht, dürfte er doch bei den ganzen scriptkiddis im internet, eine menge protscann`s aufzeichenen.
kann mir hierzu jemand weiterhelfen
gruss helsaett
snort
Hmmm,
naja da sollte eigentlich schon was stehen ...
Was für ein output-plugin verwendest Du denn ? Welche snort Version ?
Werden die verschiedenen PräProzessoren denn geladen ?
Mach doch mal folgendes:
1. Schnüffel doch mal an deinem LAN Interface - und verursache dann sog malicious traffic, also traffic der die SignaturDB von snort eigentlich aufmerksam machen müsste.
Tools wie nessus oder fragroute uvm können die dabei helfen.
oder ...
2. Wenn Du keine Lust auf intern hast, kannst Du dich auch natürlich durch diverse online port u. security scanner einlassen. Werde dir hier mal ne kleine Liste zusammenstellen.
http://www.linux-sec.net/Audit/nmap.test.gwif.html (nmap online-scan ...)
http://www.port-scan.de/ (noch nie ausprobiert - bieten aber nessus an ...)
http://scan.sygatetech.com/
Wenn Du spaeter noch Interesse hast snort sowohl intern als auch extern lauern zu lassen, kannst Du dich ja noch mal bei mir melden.
naja da sollte eigentlich schon was stehen ...
Was für ein output-plugin verwendest Du denn ? Welche snort Version ?
Werden die verschiedenen PräProzessoren denn geladen ?
Mach doch mal folgendes:
1. Schnüffel doch mal an deinem LAN Interface - und verursache dann sog malicious traffic, also traffic der die SignaturDB von snort eigentlich aufmerksam machen müsste.
Tools wie nessus oder fragroute uvm können die dabei helfen.
oder ...
2. Wenn Du keine Lust auf intern hast, kannst Du dich auch natürlich durch diverse online port u. security scanner einlassen. Werde dir hier mal ne kleine Liste zusammenstellen.
http://www.linux-sec.net/Audit/nmap.test.gwif.html (nmap online-scan ...)
http://www.port-scan.de/ (noch nie ausprobiert - bieten aber nessus an ...)
http://scan.sygatetech.com/
Wenn Du spaeter noch Interesse hast snort sowohl intern als auch extern lauern zu lassen, kannst Du dich ja noch mal bei mir melden.
preprocessoren, frag2, stream4: detect_scans, stream4_reassemble, http_decode: 80 -unicode -cginull, rpc_decode: 111, bo: -nobrute, telnet_decode, portscan 4 3 portlscan.log,
version 1.9.4
snort | more gibt mir folgendes aus
Log directory = /var/log/snort
Initialzing Network Interface ppp0
using config file /root/.snortrc
Parsing Rules file /root/.snortrc
Error: Unable to open rules file: /root/.snortrc or /root//root/.snortrc
Fatal Error, Quitting.. <----- ####### sollte snort nicht die snort.conf, sowie mit der snort.debian.conf verwenden, da ja snort mit den rules in /etc/snort arbeiten sollte, die auch in der snort.conf mit include *. rules zugewissen werden #######
Initializing Preprocessors !
Initializing Plug-ins !
Initializating Output Plugins !
version 1.9.4
snort | more gibt mir folgendes aus
Log directory = /var/log/snort
Initialzing Network Interface ppp0
using config file /root/.snortrc
Parsing Rules file /root/.snortrc
Error: Unable to open rules file: /root/.snortrc or /root//root/.snortrc
Fatal Error, Quitting.. <----- ####### sollte snort nicht die snort.conf, sowie mit der snort.debian.conf verwenden, da ja snort mit den rules in /etc/snort arbeiten sollte, die auch in der snort.conf mit include *. rules zugewissen werden #######
Initializing Preprocessors !
Initializing Plug-ins !
Initializating Output Plugins !
Tach!
Als allererstes empfehle ich Dir nen Upgrade auf Snort 2.0, weil das ist ne ganze
Ecke schneller, breiter, besser, toller! ;D
Snort scheint keine Regeldateien laden zu können bzw. läuft gar nicht erst durch
den Fatal Error.
Wo hast Du denn die Configdatei liegen? Wirklich unter /root/.snortrc?
Also ich hab die Config im Ordner /etc/snort und starte Snort immer folgendermaßen:
snort -D -c /etc/snort/snort.conf
Als Output Plugin würde ich Dir Syslog empfehlen, weil dann kannst Du direkt mit
Guardian die erkannten Angriffe entsorgen.
Lies vielleicht einfach mal meinen DS Artikel zu Snort:
http://ds.ccc.de/077/snort
Zum testen kannst Du neben den schon genannten Tools auch Feed Snort aus dem
P.A.T.H. Projekt verwenden: http://p-a-t-h.sourceforge.net.
Das generiert aus Snort Regeldateien Angriffspakete und schmeisst sie Snort vor
die Nase.
Greets
Basti
Als allererstes empfehle ich Dir nen Upgrade auf Snort 2.0, weil das ist ne ganze
Ecke schneller, breiter, besser, toller! ;D
Snort scheint keine Regeldateien laden zu können bzw. läuft gar nicht erst durch
den Fatal Error.
Wo hast Du denn die Configdatei liegen? Wirklich unter /root/.snortrc?
Also ich hab die Config im Ordner /etc/snort und starte Snort immer folgendermaßen:
snort -D -c /etc/snort/snort.conf
Als Output Plugin würde ich Dir Syslog empfehlen, weil dann kannst Du direkt mit
Guardian die erkannten Angriffe entsorgen.
Lies vielleicht einfach mal meinen DS Artikel zu Snort:
http://ds.ccc.de/077/snort
Zum testen kannst Du neben den schon genannten Tools auch Feed Snort aus dem
P.A.T.H. Projekt verwenden: http://p-a-t-h.sourceforge.net.
Das generiert aus Snort Regeldateien Angriffspakete und schmeisst sie Snort vor
die Nase.
Greets
Basti
Jabber: balle@jabber.ccc.de