форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"SNORT + IPTABLES принципиальный вопрос взаимодействия"
Сообщение от Михаил (??) on 30-Авг-04, 16:51  (MSK)
Привет всем! Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) т.е. получается, что snort может анализировать только тот трафик, который был пропущен файерволом? Так? Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, что это можно сделать при помощи iptables, но snort дает больше возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, snort в данном случае - молчит??? Так?? Или я что-то не понимаю??? Спасибо!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SNORT + IPTABLES принципиальный вопрос взаимодействия"
Сообщение от bass (??) on 31-Авг-04, 06:08  (MSK)
>Привет всем! > >Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? >Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) > >т.е. получается, что snort может анализировать только тот трафик, который был пропущен >файерволом? Так? >Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, >что это можно сделать при помощи iptables, но snort дает больше >возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, >snort в данном случае - молчит??? Так?? Или я что-то не >понимаю??? > >Спасибо! snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление информации с интерфейса (которая туда уже попала). internet <-> eth0 <-> snort <-> iptables
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "SNORT + IPTABLES + еще что-то..??"
	Сообщение от Maxim A.Kuznetcov on 02-Сен-04, 13:36  (MSK)
	>>Привет всем! >> >>Не могу понять принципиальный момент! Как организовать взаимодействие Snort и IPTables? >>Суть: iptables - файервол, закрывает все порты кроме 4-х (почта и DNS) >> >>т.е. получается, что snort может анализировать только тот трафик, который был пропущен >>файерволом? Так? >>Задача: заставить Snort обнаруживать ну, скажем обычное SYN-сканирование на 22-м порту (понятно, >>что это можно сделать при помощи iptables, но snort дает больше >>возможностей, согласитесь). Что же имеем: 22 порт закрыт файерволом и, соответственно, >>snort в данном случае - молчит??? Так?? Или я что-то не >>понимаю??? >> >>Спасибо! > > >snort слушает интерфейс == анализ всего что туда попало. файрвол ограничивает поступление >информации с интерфейса (которая туда уже попала). >internet <-> eth0 <-> snort <-> iptables   в догонку - кто-нить подскажет, как перехватывать всё, что пропустил (не счёл сканом/флудом/атакой) snort ?   То есть есть программа, которая перхватывает трафик с интерфейса и ведёт весьма детальную статистику, но вот сканы портов/хостов сильно эту статистику увеличивают.   Не подскажет ли кто как брать перехваченные пакеты, уже после snort`а..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "SNORT + IPTABLES + еще что-то..??"
	Сообщение от bass (??) on 02-Сен-04, 16:00  (MSK)
	> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт > весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают. если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь на показаниях снорта >  Не подскажет ли кто как брать перехваченные пакеты, уже после >snort`а.. судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий, вы только наблюдаете статистику снорта. так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для размышления: что мне с этим делать? переиначу снорт: обрисуйте конкретную задачу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "SNORT + IPTABLES + еще что-то..??"
	Сообщение от Maxim Kuznetcov on 04-Сен-04, 03:53  (MSK)
	>> То есть есть программа, которая перхватывает трафик с интерфейса и ведёт >> весьма детальную статистику, но вот сканы портов/хостов сильно эту >cтатистику увеличивают. > >если ваша программа обладает минимум функционала, вы можете просто исключать сканы основываясь >на показаниях снорта > >>  Не подскажет ли кто как брать перехваченные пакеты, уже после >>snort`а.. >судя по вопросам, ваш снорт стандартной конфигурации. тоесть вы непредпринимаете никаких действий, >вы только наблюдаете статистику снорта. >так вот, стандартная конфигурация не отбивает никакие пакеты, просто даёт инфу для >размышления: что мне с этим делать? > >переиначу снорт: обрисуйте конкретную задачу. Задача вообще-то идеалогически решена ;-) Подход к решению понял минут через 10-15 после отправки поста.. Задача вообщем такая : - есть программа(sniffer) эффективно собирающая статистику, типа кто,куда,откуда,что и когда пересылал. - у программки маааленький такой недостаток - если кто-то сканит сеть по хостам или портам, то статистика чрезвучайно сильно бухнет Насколько я понимаю, в связке со snort+iptables решение будет таким : - snort обнаруживает скан/флуд, по реакции добавляются правила в iptables - в iptables добавляются два ULOG вывода - один на полезный траффик, второй для мусора - sniffer пересаживается с реального интерфеса на netlink, слушает два канала и по разному их обрабатывает Я примерно правильно представляю принцип работы snort и его практическое применение ??
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.