Pytanie o Snort'a
Witam, mam pytanie do osób używających Snorta
Czy jest możliwość ustawienia go w sieci lokalnej, czyli np. z adresacją prywatną, aby alarmował jeśli jakiś komputer z tej podsieci skanuje komputer (z tej samej podsieci) z zainstalowanym snortem
Z góry dzięki za pomoc
zalezy od architektury sieci, SNORT analizuje pakiety przechodzace przez system na ktorym funkcjonuje. Zatem SNORT moze dzialac na routerze w sieci wewnetrznej , ale jesli atak bedzie z hosta A na hosta B i ruch nie pojdzie przez router a jedynie przez switcha to nic nie zostanie wykryte. W takim wypadku jedyna mozliwoscia jest instalowanie SNORTA na hoscie BNapisał randeb
Witam, mam pytanie do osób używających Snorta
Czy jest możliwość ustawienia go w sieci lokalnej, czyli np. z adresacją prywatną, aby alarmował jeśli jakiś komputer z tej podsieci skanuje komputer (z tej samej podsieci) z zainstalowanym snortem
Z góry dzięki za pomoc
Jesli posiadasz w sieci zarzadzalny switch to ustaw jeden z portow (zalecam ten najszybszy - moze gigabitowy jakis masz i karte gigabit w kompie?) jako SPAN port i podpiecie do niego osobnego systemu ktory bedzie tylo robil za IDS. Span port pozwoli slyszec wszystko co idzie przez switch'a (oczywiscie po odpowiedniej konfiguracji).
Pamietac tylko trzeba o tym ze ten port bedzie najbardziej obciazony, maszyna na IDS powinna byc raczej 'solidna' i tak czy inaczej nie mozna zakladac ze zlapie i przeanalizuje 100% ruchu - oczywiscie to zalezy od wielkosci sieci.
Wiecej informacji dotyczacych konfiguracji pod http://www.cisco.com/warp/public/473/41.html
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Wielkie dzięki Panowie za zainteresowanie i pomoc, tylko że mój problem wygląda troszkę inaczej. Moim celem jest przetestowanie Snorta, nie chcę go używać jako IDS, lecz przetestować na co reaguje itp.
Z tego względu, iż chwilowo nie mam dostępu do sprzętu fizycznego, postanowiłem to zrobić na VMware, lecz tu pojawia się problem, gdyż stworzona sieć jest lokalną za NAT'em, i tak naprawdę wychodzi na to, iż nie sprawdzę działania Snorta na VMware, gdyż jest to sieć lokalna i z tego co wiem i z tego co napisaliście, nie będzie on reagować na np. skanowania z komputera z tej samej podsieci.
Tak więc chyba będę musiał i tak sprawdzić to z jakimś ruterkiem, chyba że ktoś ma jakiś pomysł
Dzięki za pomoc
Jesli chcesz tak zrobic to musialbys miec siec oparta o HUB a nie o switch albo testowac tylko to co idzie z twojego kompa (niech bedzie i windowsowy host vmware) z/do sieci. Ustawiasz na vmware interfejs sieciowy na vmnet0 (bridged mode) i po sprawie - snort slyszy wszystko co idzie po kablu
Oganiczeniem dla Ciebie bedzie jednak jakikolwiek switch w sieci LAN.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
mozesz sie do mnie podłączyć
Pozwolicie, że podepnę się pod temat
Sieć jest zbudowana w ten sposób:
Na komputerze fizycznym zainstalowane są 2 wirtualne maszyny, WinXP ze Snortem i Ubuntu z ettercapem. Wszystko to jest podłaczone do sieci, która jest oparta na małym domowym routerku Netgear.
Czy wobec tego mogę wykryć ten rodzaj ataku? Snort działający jako sniffer na switchu widzi tylko pakiety adresowane do niego. A z drugiej strony, ettercap rozsyłając pakiety ARP ze sfałszowanymi adresami MAC, rozsyła je do wszystkich hostów w sieci. Więc Snort teoretycznie powinnien pokazywać alert, związany z tym że MAC bramy się zmienia. (Zapisałem go w ARP spoof preprocessor)
Co teraz z tym począć?
Wiele zalezy od tego jak robisz wirtualizacje...
Jesli masz interfejsy w trybie bridge na obu VM to teoretycznie masz HUB (doslownie HUB a nie switch) do ktorego masz podlaczony dalej do Netgear'a... HUB obsluguje 3 komputery - host i 2 VM... mowie teoretycznie bo zaleznie od technologii wirtualizacji spoofowane pakiety moga w ogole nie wychodzic na kabel...
VMWare ESXi na przyklad nie ma opcje ustawiane dla kazdej VM czy zezwalasz na pomisc na interfejsie, czy zezwalasz na ARP spoofing, itd. Jesli to wylacze to mozesz robic co chesz... masz root'a na VM, odpalasz tcpdump i jestes gluchy bo VM blokuje promisc
Idealne rozwiazanie byloby takie abys mial snorta in-line wpietego a wiec ze caly ruch idzie przez niego. Podobny efekt mozna uzyskac jesli masz np switch cisco i podepniesz snorta do SPAN portu.
SPAN port to prawie jak TAP - ustawiajac go podajesz ktore porty switcha chcesz podsluchiwac i w ktorym kierunku - to co jest wysylane cyz to co jest przez port odbierane. Mozesz sluchac wielu portow na raz... switch po prostu kopiuje ruch z tych portow na port SPAN tak jak leca fizycznie po sieci. Co jest ciekawe - port span nie odbiera danych, tylko je wysyla, wiec na drugim koncu kabla musisz miec cos w trybie promisc (np interfejs na ktorym slucha snort), wtedy masz wglad w ruch jaki idzie po sieci
Jaka jest tego zaleta? Jesli snort lub inny IDS/IPS jest wpiety in-line i caly ruch idzie przez niego, jak ten sie przytka to pakiety beda ginac i masz problem. W przypadku span/tap jesli IDS nie wyrabia, trudno - IDS gubi pakiety ale nie ma problemow z lacznoscia i userki nic nie widza.
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Zasady Postowania
Copyright © 2006-2020 - HACK.pl. Wszelkie prawa zastrzeżone.
LinkBack URL
About LinkBacks
Odpowiedź z Cytatem