oriolrius.cat

Des del 2000 compartiendo sobre…

Snort 1.7 & ACID

Reading time: 1 – 2 minutes

Fa un parell de dies q em barallava amb l’snort i com sempre no hi havia
manera de q em pilles el puto Plug-in q envia les sortides al MySQL.

Finalment he descobert q ho havia fet tot bé a la primera i q el
problema esta a l’hora de tirar-lo ja q posava massa paràmetres quan
simplement tirant-lo amb el paràmetre pq pilli el fitxer de “rules” ja
n’hi ha prou. A més ara ja no s’ha de modificar el Makefile ni res de
res com abans li poses –with-mysql al configure i com una seda.
Pel q fa al ACID és un programa del CERT q es dedica a analitzar i
recopilar els atacs o events poc usuals q rep la nostra màquina o la
nostra xarxa. Esta molt bé, a més és molt fàcil
d’instal.lar un cop va l’snort el copies a un directori accessible desde la web
i prement un parell de botons tot arreglat. Obviament després de posar
el nom d’usuar i password al seu fitxer de configuració.
El meu ACID esta a oriol.homeip.net/snort/acid

2 thoughts on “Snort 1.7 & ACID”

  1. Oriol Rius

    Fins ara tenia un gran problema amb la gran quantiat de missatges q em generaba
    l’snort cosa q em desbordava la capacitat d’analisis del ACID.Finalment ahir
    vaig descobrir q em donava com a alarma de seguretat el fet de tenir la
    comunitat de lectura del FTP, amb el nom “public”, o sigui, l’estàndard.
    Ara ja l’he modificat i ja no em dona problemes. Tb he canviat la comunitat
    d’escriptura tot i q de moment no l’uso per res.

  2. Oriol Rius

    No sé pas q estava fent quan se m’ha encés la llumete d provar d
    compilar l’snort en mode estatic per tal d poder posar una sonda q
    vigilés els ports del firewall i no només la intranet com
    s’estava vigilant fins ara.

    Així doncs he agafat el Makefile del snort q ja tenia compilat i l’hi he
    afegit la opció -static a la variable interna del Makefile: LINK. He fet
    el make i tatxan!!!! ja tenia un ELF binari de 3Mb amb el snort amb suport
    MySQL completament independent d llibreries.

    Per veure les noves sondes podeu mirar a:
    http://oriol.homeip.net/snort/acid/acid_stat_sensor.php

    A part dels resultats q aquestes emeten com semre en el servei ACID del portal.
    Ara només em toca resar pq no em doni problemes la interficie ippp0 ja q
    com q no es permanent al apareixer i desapareixer no sé si
    provocarà algun fallo a l’snort.

Comments are closed.

Últimas entradas

Archivo
Scroll to Top