Pokaż wyniki 1 do 8 z 8

Temat: Pytanie o Snort'a

  1. #1
    Zarejestrowany
    Jan 2008
    Postów
    8

    Domyślnie Pytanie o Snort'a

    Witam, mam pytanie do osób używających Snorta
    Czy jest możliwość ustawienia go w sieci lokalnej, czyli np. z adresacją prywatną, aby alarmował jeśli jakiś komputer z tej podsieci skanuje komputer (z tej samej podsieci) z zainstalowanym snortem
    Z góry dzięki za pomoc

  2. #2
    Zarejestrowany
    Aug 2007
    Postów
    91

    Domyślnie

    Cytat Napisał randeb Zobacz post
    Witam, mam pytanie do osób używających Snorta
    Czy jest możliwość ustawienia go w sieci lokalnej, czyli np. z adresacją prywatną, aby alarmował jeśli jakiś komputer z tej podsieci skanuje komputer (z tej samej podsieci) z zainstalowanym snortem
    Z góry dzięki za pomoc
    zalezy od architektury sieci, SNORT analizuje pakiety przechodzace przez system na ktorym funkcjonuje. Zatem SNORT moze dzialac na routerze w sieci wewnetrznej , ale jesli atak bedzie z hosta A na hosta B i ruch nie pojdzie przez router a jedynie przez switcha to nic nie zostanie wykryte. W takim wypadku jedyna mozliwoscia jest instalowanie SNORTA na hoscie B

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli posiadasz w sieci zarzadzalny switch to ustaw jeden z portow (zalecam ten najszybszy - moze gigabitowy jakis masz i karte gigabit w kompie?) jako SPAN port i podpiecie do niego osobnego systemu ktory bedzie tylo robil za IDS. Span port pozwoli slyszec wszystko co idzie przez switch'a (oczywiscie po odpowiedniej konfiguracji).

    Pamietac tylko trzeba o tym ze ten port bedzie najbardziej obciazony, maszyna na IDS powinna byc raczej 'solidna' i tak czy inaczej nie mozna zakladac ze zlapie i przeanalizuje 100% ruchu - oczywiscie to zalezy od wielkosci sieci.

    Wiecej informacji dotyczacych konfiguracji pod http://www.cisco.com/warp/public/473/41.html
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Jan 2008
    Postów
    8

    Domyślnie

    Wielkie dzięki Panowie za zainteresowanie i pomoc, tylko że mój problem wygląda troszkę inaczej. Moim celem jest przetestowanie Snorta, nie chcę go używać jako IDS, lecz przetestować na co reaguje itp.
    Z tego względu, iż chwilowo nie mam dostępu do sprzętu fizycznego, postanowiłem to zrobić na VMware, lecz tu pojawia się problem, gdyż stworzona sieć jest lokalną za NAT'em, i tak naprawdę wychodzi na to, iż nie sprawdzę działania Snorta na VMware, gdyż jest to sieć lokalna i z tego co wiem i z tego co napisaliście, nie będzie on reagować na np. skanowania z komputera z tej samej podsieci.
    Tak więc chyba będę musiał i tak sprawdzić to z jakimś ruterkiem, chyba że ktoś ma jakiś pomysł
    Dzięki za pomoc

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Jesli chcesz tak zrobic to musialbys miec siec oparta o HUB a nie o switch albo testowac tylko to co idzie z twojego kompa (niech bedzie i windowsowy host vmware) z/do sieci. Ustawiasz na vmware interfejs sieciowy na vmnet0 (bridged mode) i po sprawie - snort slyszy wszystko co idzie po kablu

    Oganiczeniem dla Ciebie bedzie jednak jakikolwiek switch w sieci LAN.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Jan 2008
    Postów
    139

    Domyślnie

    mozesz sie do mnie podłączyć

  7. #7
    Zarejestrowany
    Mar 2010
    Postów
    6

    Domyślnie

    Pozwolicie, że podepnę się pod temat Otóż w innym wątku pisałem o snorcie i nasłuchiwaniu na switchu. Ale teraz wogóle zacząłem się zastanawiać czy Snort będzie widział ataki Arp-poisoning?
    Sieć jest zbudowana w ten sposób:
    Na komputerze fizycznym zainstalowane są 2 wirtualne maszyny, WinXP ze Snortem i Ubuntu z ettercapem. Wszystko to jest podłaczone do sieci, która jest oparta na małym domowym routerku Netgear.
    Czy wobec tego mogę wykryć ten rodzaj ataku? Snort działający jako sniffer na switchu widzi tylko pakiety adresowane do niego. A z drugiej strony, ettercap rozsyłając pakiety ARP ze sfałszowanymi adresami MAC, rozsyła je do wszystkich hostów w sieci. Więc Snort teoretycznie powinnien pokazywać alert, związany z tym że MAC bramy się zmienia. (Zapisałem go w ARP spoof preprocessor)
    Co teraz z tym począć?

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Wiele zalezy od tego jak robisz wirtualizacje...

    Jesli masz interfejsy w trybie bridge na obu VM to teoretycznie masz HUB (doslownie HUB a nie switch) do ktorego masz podlaczony dalej do Netgear'a... HUB obsluguje 3 komputery - host i 2 VM... mowie teoretycznie bo zaleznie od technologii wirtualizacji spoofowane pakiety moga w ogole nie wychodzic na kabel...
    VMWare ESXi na przyklad nie ma opcje ustawiane dla kazdej VM czy zezwalasz na pomisc na interfejsie, czy zezwalasz na ARP spoofing, itd. Jesli to wylacze to mozesz robic co chesz... masz root'a na VM, odpalasz tcpdump i jestes gluchy bo VM blokuje promisc

    Idealne rozwiazanie byloby takie abys mial snorta in-line wpietego a wiec ze caly ruch idzie przez niego. Podobny efekt mozna uzyskac jesli masz np switch cisco i podepniesz snorta do SPAN portu.

    SPAN port to prawie jak TAP - ustawiajac go podajesz ktore porty switcha chcesz podsluchiwac i w ktorym kierunku - to co jest wysylane cyz to co jest przez port odbierane. Mozesz sluchac wielu portow na raz... switch po prostu kopiuje ruch z tych portow na port SPAN tak jak leca fizycznie po sieci. Co jest ciekawe - port span nie odbiera danych, tylko je wysyla, wiec na drugim koncu kabla musisz miec cos w trybie promisc (np interfejs na ktorym slucha snort), wtedy masz wglad w ruch jaki idzie po sieci

    Jaka jest tego zaleta? Jesli snort lub inny IDS/IPS jest wpiety in-line i caly ruch idzie przez niego, jak ten sie przytka to pakiety beda ginac i masz problem. W przypadku span/tap jesli IDS nie wyrabia, trudno - IDS gubi pakiety ale nie ma problemow z lacznoscia i userki nic nie widza.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Podobne wątki

  1. Pytanie
    By Virtual in forum Newbie - dla początkujących!
    Odpowiedzi: 15
    Autor: 12-29-2007, 22:12
  2. pytanie
    By ironwall in forum TCP/IP/Analiza/Badanie
    Odpowiedzi: 4
    Autor: 07-05-2007, 20:06
  3. Pytanie:)
    By r3cover in forum Hacking
    Odpowiedzi: 1
    Autor: 06-01-2007, 10:09
  4. Pytanie
    By slawek14 in forum Delphi/Pascal/Lisp
    Odpowiedzi: 4
    Autor: 05-22-2007, 16:16

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52