Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Snort Intrusion Detection System

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Ott 18, 2009 4:21 pm    Oggetto: Snort Intrusion Detection System Rispondi citando

√ą disponibile il pacchetto Snort 2.8.5 che permette ad un router/bridge Zeroshell di agire da IDS (Intrusion Detection System) rilevando possibili attachi/worm verso la propria LAN. Maggiori dettagli sono disponibili all'URL http://www.zeroshell.net/patch-details/#DA12.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Rustycage



Registrato: 29/07/07 17:06
Messaggi: 30

MessaggioInviato: Lun Ott 19, 2009 8:42 am    Oggetto: Rispondi citando

Grazie infinite fulvio, aspettavo che tu prendessi in considerazione snort da parecchio tempo..


HIPPIP URRA A FULVIO! Smile
Top
Profilo Invia messaggio privato
abramo



Registrato: 21/04/08 22:03
Messaggi: 31

MessaggioInviato: Lun Ott 19, 2009 5:48 pm    Oggetto: Rispondi citando

é compatibile con la beta 11?
Grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Ott 19, 2009 9:50 pm    Oggetto: Rispondi citando

E' specifico per la beta12, ma credo che una volta installato basti creare il link

ln -s /Database/opt/1.0/beta12 /Database/opt/1.0/beta11

e funzioni comunque.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Rustycage



Registrato: 29/07/07 17:06
Messaggi: 30

MessaggioInviato: Mar Ott 20, 2009 10:33 am    Oggetto: Rispondi citando

nuuu!

11:29:26 database: 'mysql' support is not compiled into this build of snort
11:29:26 FATAL ERROR: If this build of snort was obtained as a binary distribution (e.g., rpm, or Windows), then check for alternate builds that contains the necessary 'mysql' support. If this build of snort was compiled by you, then re-run the the ./configure script using the '--with-mysql' switch. For non-standard installations of a database, the '--with-mysql=DIR' syntax may need to be used to specify the base directory of the DB install. See the database documentation for cursory details (doc/README.database). and the URL to the most recent database plugin documentation.

per ora uso nc -l -u -p 514 | grep snort per leggere i log in tempo reale da un' altra macchina in rete, la stessa che ha mysql server con accesso via tcp

se invece utilizzo tail -f /Database/opt/1.0/beta12/packages/log/ sia log che alert sono umanamente inleggibili Neutral

inrilevante se dovesse essere normale, ma l'uso della ram è duplicato, da 110mb di sempre, arriva ad usare 260mb di ram.
Top
Profilo Invia messaggio privato
ziotibia81



Registrato: 14/10/09 13:08
Messaggi: 89

MessaggioInviato: Mer Ott 21, 2009 9:02 am    Oggetto: Rispondi citando

Ho notato anche io che l'uso della ram è duplicato.
Non mi da problemi perchè ho ancora un bel po' di ram libera ma secondo me è da tenere un po' sott'occhio.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ott 21, 2009 4:48 pm    Oggetto: Rispondi citando

Non ho aggiunto il supporto per mysql, ma la cosa e' in sviluppo. Quello che pensavo e' di rendere snort configurabile via web mediante soglie di intervento che aggiungono in automatico regole iptables per bloccare gli attacchi verso la LAN.
Immagino che snort consumi un po' di RAM. L'importante che non cresca all'infinito a causa di memory leak. Usando mrtg si puo' monitorare l'andamento della RAM.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Ott 21, 2009 6:09 pm    Oggetto: Rispondi citando

Devo farti i miei complimenti per la scelta della nuova applicazione per zero serviva davvero tanto per zero poi snort è abbastanza efficace come ids è consigliato anche da cisco.
Ma ti pongo una domanda : snort è configurabile solo da consolle, non è disponibile un'interfaccia web? e se no hai preso in considerazione la cosa che sarebbe di grande aiuto?
aspetto dei ragguagli iniziali di una tua guida e l'inte4rfaccia per poter iniziare dei test .
cordiali Saluti Vito
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ott 21, 2009 6:13 pm    Oggetto: Rispondi citando

Per ora Snort non e' configurabile via web. L'unica cosa che si vede da web sono i log degli alert.
Ovviamente se Snort susciterà un buon interesse lo integreremo anche nella GUI di Zeroshell.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Ott 21, 2009 6:50 pm    Oggetto: Rispondi citando

Secondo me non bisogna aspettare meglio implementare sai benissimo quanti attacchi si ricevono dal web , scanzioni attacchi al dizionario attack paterns,falsi positiviecc.La funzione per quanto mi riguarda è indispensabile.

Bisognerebbe valutare la quantità di pacchetti che snort su zero e in grado di gestire .Deve essere in grado di gestire 100mbps di traffico con pacchetti da 1500byte e 100mbps di traffico con pacchetti da 60byte .
L'ids dovrebbe essere configurato per evitare la disattivazione dei sensori e limitare le archiviazioni e attacchi dos e frammentazione.
Secondo me bisognerebbe creare un pacchetto di installazione con delle impostazioni di default che tengano presente un minimo di configurazione
sugli elementi critici di un ids come quelli elencati sopra una sorta di configurazione di default per utenti alle prime armi .
linterfaccia iniziale dovrebbe contenere la possibilità di cambiare l'eth di riferimento.
Cordiali saluti Vito
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Ott 21, 2009 8:29 pm    Oggetto: Rispondi citando

In realtà di Snort non ne so molto. Per questo anche ho creato il pachetto per Zeroshell, proprio per avere un feedback. Iniziare da subito l'interfaccia non sarebbe produttivo. Penso che apriro' una sezione del forum dedicata.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
atavachron



Registrato: 24/03/07 13:30
Messaggi: 61
Residenza: Catania

MessaggioInviato: Sab Ott 24, 2009 4:15 pm    Oggetto: Rispondi citando

Salve, sono quello che ha stonato la testa con un IDS su ZeroShell

installato l'indomani dalla pubblicazione e messo su un'adsl a catturare attacchi... vediamo come si comporta.

Fulvio, se vuoi completare l'opera o se vuoi posso provarci io ma mi devi dare una mano, esiste un pacchetto http://www.chaotic.org/guardian/ che analizzando gli alert, crea una iptables role in tempo reale (anche su altre macchine) e mette in blacklist il malintenzionato attaccante per il tempo da noi stabilito, < fidati un ottimo deterrente utilizzato da anni su IpCop> . In poche parole quell'IP non rompera' piu' le scatole. Ciliegina sulla torta http://base.secureideas.net/ che si occupa proprio di analizzare e visualizzare graficamente gli alert provenienti da SNORT.

Che ne dici / dite ?
_________________
Munnu ha statu, je munnu resta.
Top
Profilo Invia messaggio privato
lello



Registrato: 03/07/07 22:19
Messaggi: 16

MessaggioInviato: Lun Ott 26, 2009 1:11 pm    Oggetto: Snort mi blocca Zeroshell? Rispondi citando

Cari amici e sostenitori di Zeroshell, ed a Fulvio in particolare pongo il seguente quesito:
E' capitato a qualcuno che dopo qualche ora dall'installazione di Snort Intrusion Detection System, Zeroshell si sia impiombato? Niente pi√Ļ autenticazioni, nessuna possibilit√† di richiamare i vari comandi della schermata finale, tantomeno di entrare via web.
Uso la versione VWare di Zeroshell su una macchina che non mi ha dato mai problemi, motivo per il quale non ritengo che sia una questione hardware. Lo dimostra il fatto che effettuato il restore di un backup di ZS di qualche giorno prima, tutto ha ripreso a funzionare normalmente, senza snort ovviamente. In verità non sono riuscito a fare una diagnosi data la mia non conoscenza di linux. Prima di procedere all'abbandono di snort ho tentato un riavvio ma erano diverse le stringhe in fase di avvio che risultavano rosso "failed" e non verde "ok". Cosa può essere successo?
Top
Profilo Invia messaggio privato
Rustycage



Registrato: 29/07/07 17:06
Messaggi: 30

MessaggioInviato: Mar Ott 27, 2009 11:57 am    Oggetto: Rispondi citando

lello, √® successo anche a me, considera che avevo una configurazione up da quasi 8 mesi, con uno storico di log e graph abbastanza vasto, dopo l'installazione di snort, sembra quasi come se avesse cancellato dei binari nel database di configurazione, al boot constatavo come cercasse dei binari che non trovava pi√Ļ, ho creato una nuova configurazione/database ed √® tornato a funzionare.

SEMBRA CHE PER ORA SNORT SIA IN FASE DI ADATTAMENTO, SCONSIGLIATO A CHI DI ZEROSHELL PER ORA NE FA UN USO NORMALE.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mar Ott 27, 2009 10:58 pm    Oggetto: Rispondi citando

Bisognerebbe installarlo senza dansguardian mi sa mi sa che va un pochino in conflitto .Dichiamo che manda in tilt le connessioni ip sotto controllo con il proxy installato dansguardian.
Saluti Vito
Top
Profilo Invia messaggio privato
faithful



Registrato: 05/05/08 12:28
Messaggi: 23

MessaggioInviato: Lun Nov 16, 2009 5:36 pm    Oggetto: Rispondi citando

fulvio ha scritto:
Non ho aggiunto il supporto per mysql, ma la cosa e' in sviluppo. Quello che pensavo e' di rendere snort configurabile via web mediante soglie di intervento che aggiungono in automatico regole iptables per bloccare gli attacchi verso la LAN.
Immagino che snort consumi un po' di RAM. L'importante che non cresca all'infinito a causa di memory leak. Usando mrtg si puo' monitorare l'andamento della RAM.

Ciao
Fulvio

No aspetta non funziona così: per bloccare le minacce individuate esiste la funzionalità inline di snort.
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Mar 26, 2010 3:55 pm    Oggetto: Rispondi citando

Salve a tutti. Io penso che "completare" l'opera con l'IDS snort, utilizzando una parte grafica sia dovuto. Sono d'accordo anche con atavachron, e mi offro volontario insieme a lui, per sviluppare una modalitŗ che blocchi i tentativi di attacchi aggiungendo rules in realtime su iptables. Vi chiederei, solo una cortesia, fatemi sapere subito se avete di bisogno, perchť ho un bel po di lavoro.

grazie
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mar 28, 2010 9:00 pm    Oggetto: Rispondi citando

Ma poter gestire snort da gui non interessa propio a nessuno ????
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Dom Mar 28, 2010 9:08 pm    Oggetto: Rispondi citando

Si certo che interessa.
Ho parlato con Fulvio, e stiamo cercado di capire come/se muoverci.
Per quanto riguarda le versioni beta di ZeroShell, non se ne parla ...
Io mi sono offerto di aiutarlo a sviluppare tale interfaccia, e ad aggiungere delle features che siano in grado di bloccare automaticamente degli ipotetici aggressori, aggiungendo delle regole direttamente nel firewall.
Se riusciamo a metterci d'accordo, non ci dovranno essere problemi, altrimenti bisogna aspettare una versione stabile di ZeroShell, o quanto meno un milestone, per avere della documentazione che aiuti lo sviluppo sullo stesso ZeroShell.
... Poi dipende anche da come sono i feedback da parte degli utenti..
Smile
Top
Profilo Invia messaggio privato Invia e-mail
redfive



Registrato: 26/06/09 22:21
Messaggi: 767

MessaggioInviato: Dom Mar 28, 2010 9:17 pm    Oggetto: Rispondi citando

Grazie Francesco !! La mia era una domanda un po' " provocatoria " per tutti gli utenti di questa fantastica applicazione che Fulvio ( Santo Subito !! )
ha implementato e che continua a sviluppare...... visto che non avevo notato neanche un feedback positivo alla tua proposta... Crying or Very sad
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it