Toon posts:

[snort] Hoe tjekken of snort werkt?

Pagina: 1
Acties:

zondag 5 januari 2003 13:45

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
Ik heb snort geinstalleerd met acid erbij.
Nu zou ik snort willen testen of ie het wel doet, dus ik een portscan (met nmap -sT) gedaan vanaf een andere machine over het internet heen maar snort ziet die niet, terwijl die dat imho wel zou moeten doen.

Wat heb ik gedaan?
1) snort gedowload & gebakken & geinstalled
2) default snort.conf uit de distro, aangepast voor db (output database log etc),
nieuwste rules van de site
3) snort gestart met /usr/local/snort/bin/snort -c /etc/snort/snort.conf -D -i eth1, waarbij eth1 me externe netwerkkaart is.

Acid blijft echter leeg. Als ik snort met -i lo opstart krijg ik een verzameling warnings in acid dat er local verkeer optreed (duh :D) dus hij doet ws wel iets.

Enig ID hoe ik dit verder kan testen? Ik heb nog een andere linuxmachine waar ik root op heb dus daar kan ik eventueel nog wat test proggies op installen, maar die zit wel achter een NAT firewall.

zondag 5 januari 2003 15:35

Acties:

Verwijderd

eth1 behoort de netwerkkaart te zijn die op je lokale netwerk hebt aangesloten. eth0 behoort de internet-netwerkkaart te zijn.

zondag 5 januari 2003 15:45

Acties:

Verwijderd

Welke versie van snort heb je ? want in de oude (werd bij mij tenminste) niet automatisch mijn portscan traffic gelogd anders zou je dat even aan kunnen zetten en anders gewoon een exploit uitvoeren op je eigen pc..

zondag 5 januari 2003 18:17

Acties:
  • Leon
  • Registratie: Maart 2000
  • Laatst online: 10-04 09:12

Leon

Rise Of The Robots

bedenk wel dat een IDS weinig zin heeft als je een firewall heeft die alles tegenhoud, je zou dan alleen kunnen zien of er iemand je firewall gehacked heeft en nou het interne netwerk zit te scannen, volgens mij heeft het ook weinig zin als je een switch hebt...

Eeuwige n00b

maandag 6 januari 2003 09:22

Acties:
  • active2
  • Registratie: Juni 2001
  • Laatst online: 26-10-2024

active2

Google is your friend

Verwijderd schreef op 05 January 2003 @ 15:35:
eth1 behoort de netwerkkaart te zijn die op je lokale netwerk hebt aangesloten. eth0 behoort de internet-netwerkkaart te zijn.
Wat is dat nou weer voor onzin ??

Hij kan snort toch ook gewoon laten luisteren op eth1 net zo als ie zegt ?

Google, Het mirakel van de 21e eeuw!!!!

maandag 6 januari 2003 09:58

Acties:

Verwijderd

Lekker opbouwend... Zeg ik dan dat hij Snort niet op eth1 kan laten luisteren? Ik zeg alleen dat normaal gesproken dat de eth0-netwerkkaart voor de aansluiting op het internet wordt gebruikt. Eth1 wordt in het algemeen gebruikt voor de aansluiting op het lokale netwerk.
Als de topic-starter dat nou net andersom heeft geconfigureerd en de boel blijkt niet te werken, lijkt het me voordehand liggend dat-ie het eerst eens probeert de netwerkkabels van eth0 en eth1 te verwisselen.

maandag 6 januari 2003 12:53

Acties:

Verwijderd

jointm1k: Wat een totale onzin. Waarop baseer jij deze opmerking? Jij hebt het mischien zo geconfigged, maar dat is dan niet "normaal gesproken". Dit is jouw situatie. De opmerking over het omwisselen van kabels is dus ook imo irrelevant voor het oplossen van het probleem. En besides, dan is het altijd handiger om je snort.conf aan te passen dan kabels te gaan verwisselen.
Leon: Dit is onder linux op te vangen door alles wat ge'DROP'ed of ge'REJECT word door te sturen naar ipqueue, en dit vervolgens door snort te laten analyzen. Ook zou je tussen je router en je firewall een bridge met snort kunnen plaatsen.
_-= Erikje =-_: Probeer eens wat exploits uit (een mooie apache of ssh exploit van bugtraq) en kijk of mysql / acid geupdate word.

[ Voor 5% gewijzigd door Verwijderd op 06-01-2003 12:55 ]

maandag 6 januari 2003 15:32

Acties:

Verwijderd

/me heeft ff wat huiswerk gedaan


Zowel eth0 als eth1 kunnen blijkbaar gebruikt worden de internet-kaart of als de lokale netwerkkaart. 8)7

r3b00t: mijn opmerkingen heb ik gebaseerd op diverse voorbeelden uit boeken, pdf-documenten en Howto's waar eth0 als internet-kaart wordt gebruikt. Ook heeft een maatje van mij wel eens problemen gehad toen hij eth1 als internet-kaart gebruikte. Toen hij de boel omdraaide was het probleem verholpen.Ik dacht dat zulks ook hier gaande was. My mistake.

////Edit: Ha, ik geloofde jullie bijna, maar helaas:

Ik weet al waarom eth0 normaal gesproken als internet-kaart wordt gebruikt. Dit heeft met een bug/probleem te maken voor systeemkernen met versienummer 2.2.13 en later in samenhang met DHCP op eth1. Het probleem doet zich voor als er twee NICs in het systeem zitten, en een van die NICs krijgt een dynamisch IP-adres toegewezen. Bijvoorbeeld via een DHCP server van je ISP. In dit geval moet die kaart die het dynamische IP-adres krijgt de eerste NIC zijn die het OS herkent. Eth0 dus.

Als je me niet gelooft, kun je hier eens een blik op werpen.

////Edit 2: google maar eens op deze string, krijg je nog veel meer info: "linux dhcp and eth1"

[ Voor 57% gewijzigd door Verwijderd op 06-01-2003 16:22 ]

maandag 6 januari 2003 16:32

Acties:

Verwijderd

/me spreekt uit ervaring

*sigh* en ik gebruik eth0 voor mijn lokale net en eth1 voor mijn internet. Punt is dat het geen fsck uitmaakt tenzij jouw dhcp client zo brak is dat ie alleen maar met de primaire interface om kan gaan. T' is dan weer echt een "hack" om de interfaces om te wisselen ipv je dhcp client te updaten. Ooit geprobeerd om "dhcpcd eth1" te starten? Ik heb iig nog nooit het probleem meegemaakt wat jij hierboven schetst... Dan nog, dus alleen maar omdat een dhcp client een bug heeft _moet_ eth0 connected zijn aan internet???

Kijk, een interface is een interface. Niets meer en niets minder. 'T ligt eraan hoe je het configureerd of het een interne of externe interface is, niet aan een "standaard" zoals jointm1k hierboven suggereert.

</offtopic>

maandag 6 januari 2003 17:10

Acties:

Verwijderd

/me spreekt daar ook even wat ervaring bij

Ik gebruik ook eth1 voor extern en eth0 voor intern. Daarbij is het _erg_ onzinnig om netwerkkabels te gaan switchen, want velen zullen (net als ik) extern slechts een 10 Mbps kaartje hebben, en intern een 10/100 Mbps of 100 Mbps kaartje.

maandag 6 januari 2003 18:06

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
thnx voor de info, ik ga ff bugtraq afzoeken naar een exploidje. Wat dat eth0 en/of eth1 verhaal betreft. Lijkt me niet echt van toepassing hierzo :) en idd er draaid netjes een dhcpcd op eth1
systeemkernen
ehm? :P

Affijn het betreft een slackware 8.1 systeem met 2.4.20 kernel.
Zelfde config heeft hiervoor slackware 8.0 gedraaid zonder problemen (ook met internet via eth1)

Heeft iemand misschien een exploidje bij de hand of zo? (voor een bejaarde apache versie of zo) ik kon zo snel ff niet wijs uit die security focus dingen.

[ Voor 49% gewijzigd door _-= Erikje =-_ op 06-01-2003 18:12 ]

maandag 6 januari 2003 18:13

Acties:

Verwijderd

lolz, sshredder is het 1ste wat me te binnen schiet ...

edit:

Hopelijk mag dit van de modjes, 't is iig geen directe link

zoeken naar apache-linux.txt levert hele interesante resultaten op :P

[ Voor 71% gewijzigd door Verwijderd op 06-01-2003 18:18 ]

maandag 6 januari 2003 18:30

Acties:

Verwijderd

Tja, dan lijkt het erop dat ik het bij het verkeerde eind heb. Misschien was het vroeger een probleem dat inmiddels is opgelost :? Ik heb op het internet ook een paar teksten gevonden waar mensen dhcp op eth1 hebben draaien en een statisch ip-adres op eth0. Het blijkt dus te werken.
Een oplossing voor je snort-probleem heb ik helaas niet :)
Pagina: 1
Reageer