форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Разное / Linux)
Изначальное сообщение		[ Отслеживать ]

"SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
Сообщение от dsafwafd on 07-Июн-09, 19:41
Добрый день, уважаемые! Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf? Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? Заранее спасибо!
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
Сообщение от Hetzer (ok) on 07-Июн-09, 22:35
>Добрый день, уважаемые! >Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf? > >Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - источник опасности. Именно на их взаимодействии и строятся правила анализа.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от fdss on 07-Июн-09, 23:11
	>>Добрый день, уважаемые! >>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf? >> >>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? > >Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - >источник опасности. Именно на их взаимодействии и строятся правила анализа. мне нужно защитить только себя ) Хотя это тоже сеть - /32 ) ну ладно. а если я даже защищаю HOME_NET, из этой сети не может быть угроз что ли?? вот это мне и непонятно собственно...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от Hetzer (ok) on 07-Июн-09, 23:55
	>[оверквотинг удален] >>>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? >> >>Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - >>источник опасности. Именно на их взаимодействии и строятся правила анализа. > >мне нужно защитить только себя ) Хотя это тоже сеть - /32 >) >ну ладно. а если я даже защищаю HOME_NET, из этой сети не >может быть угроз что ли?? >вот это мне и непонятно собственно... первое слово в ответе, важное слово Теперь на пальцах.  Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности. Уязвимый это HOME_NET (для удобства анализа разбитое на подмножества) и источник опасности - EXTERNAL_NET. Это просто и логично. Какие именно сети и хосты будут выполнять эти роли, снорту по-барабану, он программа оперирующая базовыми правилами. Тебе для снорта нужно лишь указать, кто у тебя уязвимый, а кто опасный. Если эти понятия смешанные, поднимай 2ю копию снорта с другим конфигом. И 3ю и 4ю и тд. если того требует задача.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от fdss on 08-Июн-09, 17:48
	>Если эти понятия смешанные, поднимай 2ю >копию снорта с другим конфигом. И 3ю и 4ю и тд. >если того требует задача. Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия с какой стороны ждать атак.......
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от Hetzer (ok) on 10-Июн-09, 12:19
	>>Если эти понятия смешанные, поднимай 2ю >>копию снорта с другим конфигом. И 3ю и 4ю и тд. >>если того требует задача. > >Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия >с какой стороны ждать атак....... ты за это время документацию видимо и не открывал. нет для снорта отличий
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от fdss on 12-Июн-09, 21:01
	>>>Если эти понятия смешанные, поднимай 2ю >>>копию снорта с другим конфигом. И 3ю и 4ю и тд. >>>если того требует задача. >> >>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия >>с какой стороны ждать атак....... > >ты за это время документацию видимо и не открывал. нет для снорта >отличий тааак. >Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности...... и >нет для снорта отличий как-то не состыковывается. тогда кто-то из нас друг друга не понял. >ты за это время документацию видимо и не открывал. открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. поэтому и спросил. задам вопрос по другому: как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и EXTERNAL_NET ?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от Hetzer (ok) on 12-Июн-09, 22:20
	>[оверквотинг удален] >как-то не состыковывается. тогда кто-то из нас друг друга не понял. > >>ты за это время документацию видимо и не открывал. > >открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. >поэтому и спросил. > >задам вопрос по другому: >как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и >EXTERNAL_NET ? я плохой объясняющий и сдаюсь с последней попыткой: HOME_NET и EXTERNAL_NET  придуманы _для_ системного администратора. Снорт не навязывает, что HOME_NET это уязвимый, просто принято предполагать,что HOME_NET это обьект защиты или более пристального внимания. На примере, ну скажем backdoor.rules можно увидеть: EXTERNAL_NET инициирует соединение (попытка или факт, не важно) с HOME_NET <- проверка или наличие уязвимости HOME_NET инициирует/отвечает EXTERNAL_NET <- HOME_NET уже уязвлён Ты, вправе менять местами HOME и EXTERNAL или вводить ещё какие-то ПЕРЕМЕННЫЕ, как тебе хочется, но снорту нет различий, он сенсор, а ты своими правилами лишь снимаешь нужные тебе показания.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от durygus (ok) on 05-Июл-09, 13:40
	Уважаемый Hetzer, если возможно нанять вас для обучения меня инсталляции и работе со Snort, свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com! Не могу найти разумных знатоков Snort`а!
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от Purgen (??) on 04-Авг-09, 13:18
	>Уважаемый Hetzer, > >если возможно нанять вас для обучения меня инсталляции и работе со Snort, >свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com! > >Не могу найти разумных знатоков Snort`а! Кто-нибудь устанавливал SnortCenter? Есть опыт в этом деле?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "SNORT && var HOME_NET && var EXTERNAL_NET"	+/–
	Сообщение от anonymous (??) on 30-Июл-12, 19:50
	> Уважаемый Hetzer, > если возможно нанять вас для обучения меня инсталляции и работе со Snort, > свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com! > Не могу найти разумных знатоков Snort`а! ужас, чувак посоветовал не весть что, а его ещё и на работу приглашают
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема