http://www.zago.eti.br/firewall/snort.txt FAQ e indicações de aplicativos pra monitorar a rede, tais como: IDS, PIDS, ACID e relacionados. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** ******************************************************** http://www.conectiva.com/doc/livros/online/10.0/servidor/pt_BR/ch15s09.html#caracteristicas-snort Características do Snort SNORT http://www.snort.org/ The Open Source Network Intrusion Detection System Programa para detectar invasão ACID Analysis Console for Intrusion Databases (ACID) programa para analizar logs do SNORT. http://acidlab.sourceforge.net/ http://freshmeat.net/projects/acid/?topic_id=43%2C152 http://www.snortsam.net/ SnortSam is a plugin for Snort, an open-source light-weight Intrusion Detection System (IDS). The plugin allows for automated blocking of IP addresses on following firewalls: ******************************************************** http://pids.sourceforge.net/index.php?acao=home PIDS - Power Intrusion Detection System Como funciona o IDS O funcionamento desta solução consiste em filtrar os pacotes que percorrem a rede, ou que estão tentando ser enviados para ela. Desta forma, toda e qualquer tentativa de acesso será logado, possibilitando posterior avaliação dos acontecimentos. ******************************************************** De:  Henrique Cesar Ulbrich Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Snort Data:  Mon, 1 Sep 2003 12:46:43 +0000 Historiadores acreditam que, em Seg 01 Set 2003 09:45, Acácio disse: > Bom dia, alguém poderia me dar uma ajudinha no snort? > Como faço pra avisar via email de um log de alerta. Não faz. Aliás, não faz diretamente, mas com a ajuda de outros aplicativos. Retirado do FAQ do Snort (http://www.snort.org/docs/FAQ.txt) 5.9 How do I get snort to e-mail me alerts? You can't. Such a process would slow Snort down too much to make it of any use. Instead, log to syslog and use swatch or logcheck to parse over the plaintext logfiles. With the logsurfer docs, this might get you on the road to doing something with snort & logsurfer:     http://www.obfuscation.org/emf/logsurfer/snort.txt JASON HAAR provided an example Swatch (3.1beta) config that emails alerts:     http://www.theadamsfamily.net/~erek/snort/snort-swatch.conf.txt Here are some docs on swatch:   * http://www.oit.ucsb.edu/~eta/swatch/   * http://www.stanford.edu/~atkins/swatch   * http://rr.sans.org/sysadmin/swatch.php   * http://www.enteract.com/~lspitz/swatch.html   * http://www.cert.org/security-improvement/implementations/i042.01.html IDS Center (see FAQ 5) on Win32 will also mail alerts. -- Henrique Cesar Ulbrich Editor - Digerati Books henrique@digerati.com.br ******************************************************** De:  Danniel Silva Cioti Para:  alfrare Cc:  linux-br Assunto:  Re:(linux-br)Snort 2.0 e Guardian Data:  Fri, 12 Sep 2003 18:22:17 -0200 Seguinte, Ele não gera mesmo.. voce tem que crialo.. no diretorio de log /var/log/snort digite touch alert Ele deve criar o arquivo ja com as permissoes certas! É bom configurar tambem o snort.conf Tente fazer isso! Att, Danniel Silva Cioti icq: 135329948 > Caros Colegas. > > Eu estou usando o Snort 2.0.x e verifiquei que o mesmo na gera no log o > arquivo alert, e por este motivo não consigo fazer a instalação do Guardian. > > Alguem tem alguma sugestao de como resolver este problema. ******************************************************** De:  fabio@extremesecurity.com.br Para:  Lista Conecitva Assunto:  Re: [seguranca] Modo invisivel (Snort + Placa de rede ) Data:  Mon, 15 Dec 2003 12:10:28 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Lembre-se, colocando o IP, você passa a referenciar sua máquina (Volta IP, camada 3),  eu usaria acesso físico. A colocação do IP é utilizado mais para a administração, dependendo como for empregado qualquer um vai poder acessar este ip também. Clever de O. Júnior wrote: > Carlos, > > Tive um problema parecido e utilizei o recurso BRIDGE mas com IP, ou > seja, minha maquina eh invisivel na rede e ainda posso usar o > iptables para definir minhas regras. > > Para referencia procure no google bridge e ebtables (isso mesmo com > b)! Recompile o kernel com esse patch que altera o modo com que a > bridge funciona. Pronto e depois utilize um aplicativo de > gerenciamento de bridge, bridge-utils. > > T+, Clever. > > > ----- Original Message ----- From: To: > Sent: Monday, December 15, 2003 > 11:13 AM Subject: Re: [seguranca] Modo invisivel (Snort + Placa de > rede ) > > > Listas Inter.Net wrote: > > Membros da lista, > > Possuo um servidor com SNORT 2.0, nesse servidor tenho 2 placas giga > ethernet da 3Com, como posso habilitar o modo invisivel nessas > placas, preciso disso para monitorar o trafego da rede aqui do > escritorio, a ideia e fazer algo do tipo: > > Inet<-->router<-->SNORT<-->FW<-->SNORT<-->LocalNet > > Agradeço qualquer dica ! > > -Carlos > > ______________________________________________________________________ > > > Yahoo! Mail: 6MB, anti-spam e antivírus gratuito! Crie sua conta > agora: http://mail.yahoo.com.br > ________________________________________________________ Lista > seguranca seguranca@distro2.conectiva.com.br > http://distro2.conectiva.com.br/mailman/listinfo/seguranca > > > Carlos, > > acredito que voçe está se referindo ao modo bridge, neste caso basta > habilitá-lo no kernel, e configurar. OBS: Funcionará na camada 2, > portanto sem IP (invisível). Você pode utilizar também o snort-inline > para barrar ataques, mas sua utilização deve ser cuidadosa. > > > -- Fábio Henrique ---------------------------------- Security > Consultant site: www.extremesecurity.com.br mail: > fabio@extremesecurity.com.br PGP KeyID: 0xF2F81D46 ******************************************************** De:  noproc@gmx.de Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Snort não inicia como Daemon Data:  Tue, 27 Apr 2004 07:01:25 -0300 On Monday 26 April 2004 15:10, Alexandro Corrÿffffeaa wrote: > "snort -d -c /etc/snort/snort.conf -l /var/log/snort" aqui eu inicio sem problemas o snort (como daemon) assim: /usr/local/bin/snort -u snort -g snort -D -c /etc/snort/snort.conf -l /var/log/snort/ como descrito neste texto (em português): http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=167 -- Key ID: 0x38078EB7 http://pgpkeys.mit.edu/ ******************************************************** De:  Alexandro Corrÿffffeaa Para:  Linux-BR (Lista) Assunto:  (linux-br) Snort não inicia como Daemon Data:  Mon, 26 Apr 2004 15:10:02 -0300 (ART) Olá pessoal...    Instalei e configurei o Snort no Slack 9.1 da forma como diz na maioria dos tutoriais da web. Quando eu utilizo o comando "snort -d -c /etc/snort/snort.conf -l /var/log/snort" funciona tudo perfeitamente!    Se eu mando o programa rodar como Daemon (este é o objetivo), adicionando apenas a opção -D, não funciona!! O porque eu não tenho nem idéia... não é gerado nenhum LOG ou coisa parecida... OHH SHIT!! :/    Será que alguém tem alguma idéia??    Muito obrigado!! :) Att, Alexandro Corrêa    ===== Alexandro Corrêa - Porto Alegre - RS WebSite: www.alexsuperweb.rg3.net MSN: alexandro_correa@yahoo.com.br ICQ: 41588504 Linux user: #339537 ******************************************************** De:  Douglas Santos Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Analise do log Snort Data:  Fri, 07 May 2004 11:53:01 -0300 Em Qui, 2004-05-06 às 14:23, Michelini Lopes da Mota escreveu: > Estou precisando de uma ferramenta para analise dos logs gerados pelo > Snort. Alguem utiliza ou recomenda alguma? Deve resolver: http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html http://jeremy.chartier.free.fr/snortalog/ ******************************************************** De:  William da Rocha Lima Responder-a:  William da Rocha Lima Para:  Rodrigo Klein Santos , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Snort + Mysql + ACID Data:  Mon, 17 May 2004 18:39:41 -0300 Caro Rodrigo, Leia essa documentação: - Implementando um NIDS com o Snort http://www.linuxit.com.br/modules.php?name=Sections&op=viewarticle&artid=428 Até, -- William da Rocha Lima wrochal@linuxit.com.br www.linuxit.com.br ******************************************************** De:  Marcos Pitanga Para:  Alex S. Pereira <9047.alexsp@finasa.com.br>, Lista LinuxBR Assunto:  Re: (linux-br)SNORT & CL9 Data:  Wed, 19 May 2004 15:14:02 -0300 > Montei um Snort com CL9 e gostaria de saber onde que eu configuro o SNORT > para enviar alerta por email ? Você tem que instlar e configurar o SWATCH []´s Marcos Pitanga ******************************************************** De:  Antonio Claudio Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)snort e mysql Data:  Mon, 18 Oct 2004 23:02:44 -0400 Em Seg 18 Out 2004 18:38, caio ferreira escreveu: >       All > >       Por acaso alguem aqui da lista ja conseguiu integrar o snort com o > mysql ?!?!?! > >       Instalei o snort, com suporte a mysql, no gateway da rede e instalei o > mysql no servidor da rede. Seguindo o texto do snor fiz o seguinte : > > > shell> echo "CREATE DATABASE snort;" | mysql -u root -p > > shell> mysql -D snort -u root -p < ./contrib/create_mysql > >       Ate ai tudo beleza, o db snort foi criado e as tables tambem. > >       No arquivo de configuracao do snort, reference.config, acrescentei o > seguinte parametro: > > output database: log, mysql, dbname=snort user=root host=192.168.1.3 > password=XYZ > >       A minha duvida eh, como eh que eu posso verificar se esta existindo uma > comunicacao entre o snort e o mysql ?!? Verifica os logs do mysql, porque se estiver tudo funcionando corretamente o snort vai está gravando na base de dados. Ou pode verificar diretamente as tabelas do banco de dados do snort. Veja este link: http://www.linuxit.com.br/section-viewarticle-428.html -- []'s Antonio Claudio ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  caio ferreira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)snort e mysql Data:  Tue, 19 Oct 2004 08:34:00 -0300 Olá, >         No arquivo de configuracao do snort, reference.config, acrescentei o > seguinte parametro: O arquivo de configuração do snort é o snort.conf. > output database: log, mysql, dbname=snort user=root host=192.168.1.3 > password=XYZ Essa linha deve aparecer no snort.conf. Apesar de no snort.conf ter um include para o reference.config, o local certo é no snort.conf. Você está rodando o mysql em um outro host? Se for na mesma máquina, basta colocar 'host=localhost'. >         A minha duvida eh, como eh que eu posso verificar se esta existindo uma > comunicacao entre o snort e o mysql ?!? Se o snort está iniciando, então a comunicação existe. Quando você habilita o log em banco de dados, na inicialização do snort ele se conecta ao mysql. Se ele não conseguir conexão, ele não inicia. Você precisa agora é de um programa para analisar os dados gerados como o ACID ou BASE. Também pode utilizar o IDSRG, recém lançado por nós sob licença GPL. http://www.defenselayer.com/produtos/idsrg/idsrg.html Abraço! Alejandro Flores ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Roald Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Snort + ACID Data:  Thu, 9 Dec 2004 11:06:32 -0300 Olá, > Instalei apache + php4 atraves do source(tudo funcionando legal), agora > estou instalei snort-mysql através do apt, qdo fui instalar o acid e pede a > libphp-adodb, qdo tento instalar atraves do apt ou dpkg, existe dependencias > do apache-common, php4 php4-cgi, so que já estao instalados, tentei usar o > equivs, instalei os pacotes virtuais mas ele não reconhece e pede a > instalacao dos mesmos, pergunto o que fazer, alguem tem alguma dica. (uso > Debian) Baixe do site do adodb. O ADBDB é uma biblioteca para conexão com banco de dados, e não precisa ser compilado, pois é em php (a versão pra php, claro). http://prdownloads.sourceforge.net/adodb/adodb454.tgz?download Depois, descompacte o pacote no seu htdocs, por exemplo, e edite o arquivo de configuração do acid, informando o caminho para acessar o adodb. Outra coisa, o ACID ja está a um bom tempo sem manutenção e existe um 'fork' do projeto chamado BASE, que ja corrigiu um monte de bugs que existiam no ACID, além de implementar novas coisas. O site do projeto é: http://secureideas.sourceforge.net/ Em adição, você pode também utilizar o IDSRG (feito por nós e GPL) para gerar relatórios gráficos mais direcionados. (http://www.defenselayer.com//) Abraço! Alejandro Flores ******************************************************** De: Rafael Alexandre Schmitt Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)ferramentas e ambientes para gerenciamento de regras Data: Sun, 1 May 2005 08:53:52 -0300 Em Segunda 25 Abril 2005 02:00, andre.g12 escreveu: > Olá pessoal, > > Estou precisando muito da ajuda de vocês. Gostaria de saber > se alguém conhece "ferramentas e ambientes para > gerenciamento de regras do Snort". Preciso de um material > bom sobre essas ferramentas, se puderem me passar, endereço > de páginas, artigos entre outras coisas sobre essas > ferramentas seria muito bom. Eu sei que existe um módulo para webmin.... Rafael. ******************************************************** ******************************************************** ********************************************************