Snort Problem

[einsiedler]

Hallo Forum,

ich habe snort endlich gescheit zum laufen bekommen, und habe jetzt ein konfigurationsproblem. ich möchte eigentlich dass alle ports abgehört werden. jetzt les ich in der config dass by default nur die ports 21, 23, 25, 53, 80, 143, 110, 111 und 513 gechecked werden. was muss in die config damit alles mitgehört werden?

stimmt diese config:
preprocessor stream4_reassemble: ports all

wie kann ich prüfen ob jetzt alle mitgeschnitten werden?

[bungeebug]

Hi,

protscan mit nmap machen ( brutalste Methode wählen ) und auf den nächsten Report von Snort warten ... du kannst dann erkennen ob was geloggt wurde oder nich ;)

[einsiedler]

ok - danke - funktioniert! ich benutze acid zur auswertung. von was für einem snort report sprichst du? wo kann ich configurieren dass ich einen bekommen? ich weisss nix von snort-report!

thx

[donald]

jetzt les ich in der config dass by default nur die ports 21, 23, 25, 53, 80, 143, 110, 111 und 513 gechecked werden. was muss in die config damit alles mitgehört werden?

Snort hört nicht auf ports, sondern prüft den kompletten IP Traffic (vergleichbar tcpdump). Auf Grund bestimmter Muster (Rules) werden dann potenzielle Angriffe klassifiziert.

ich weisss nix von snort-report!

Zum Beispiel durch Konfiguation folgender Logs:

# output alert_unified: filename snort.alert, limit 128
# output log_unified: filename snort.log, limit 128
"snort.conf" 620L, 22588C 467,2 76%

ich benutze acid zur auswertung

Aber auch ACID wird Dir die Angriffsmuster melden, wenn Du zum Beispiel über NESSUS einen Scan durchführst. Dann wird es Meldungen nur so hageln, oder probier mal ganz einfach einen Ping mit einer Paketgröße von 2k, auch da wirst Du in ACID Alerts bekommen.

[einsiedler]

ok, danke für die info. ich schätze das folgende hat mich durcheinander gebracht:


# ports

• - use the space separated list of ports in
  • , "all"
    # will turn on reassembly for all ports, "default" will turn
    # on reassembly for ports 21, 23, 25, 53, 80, 143, 110, 111
    # and 513
    
    
    comment?

[donald]

# ports

• - use the space separated list of ports in
  • , "all"
    # will turn on reassembly for all ports, "default" will turn
    # on reassembly for ports 21, 23, 25, 53, 80, 143, 110, 111
    # and 513
    
    
    comment?

Dies bezieht sich nur auf die Einstellungen von stream4. Hier können parallele Datenströme verfolgt und im Zusammenhang betrachtet werden, also eine Funktionalität, die (als kleines) Beispiel erkennen kann, ob in einem Standard Telnet Datenstrom unzulässige Fragmente eingeschleußt werden, die dann das System schaden können. D.h. Erkennung illegaler Daten innerhalb einer legalen Verbindung. Hierbei ist es meist ausreichend, diese "Tiefensuche" auf spezielle (anfällige) Ports zu beschränken.

[einsiedler]

ok - ich habs jetzt halt für alle an. mach ja deshalb nicht mehr traffic auf den ports...

danke (snort rulez!)