[Tech] snort e logs

Morpheus morpheus@teppisti.it
Mer 21 Maggio 2003 15:26:20 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Alle 17:31, martedì 20 maggio 2003, Cesare Fiorini ha spippolato:
[snip]

premetto che anch'io ho installato da poco snort (almeno come ids), quindi 
potrei dire qualche stupidaggine

> - la macchina su cui faccio questi test ha due schede di rete (lan
> interna e IP pubblico su internet) come HOME_NET (snort.config) quale
> devo mettere ??

Dipende quale dei due intenti (attacchi da internet, presenza di traffico 
"illecito" sulla lan) vuoi perseguire... per perseguirli (come si deve) 
entrambi sarebbe meglio avere 2 postazioni ids, una sul gw ed una interna 
alla lan.

> che differenze di risulati ho se metto l'una o l'altra ?

Se ascolti su ppp0 analizzi il traffico da/per internet risoettivamente prima 
di ogni eventuale filtraggio/dopo l'eventuale filtraggio del traffico in 
arrivo dalla lan e distinato ad internet. Se analizzi l'interfaccia rivolta 
verso la lan analizzi il traffico della lan ivi compreso l'eventuale traffico 
da/per internet che in essa transita secondo modalità uguali e contrarie a 
quelle di cui sopra.

> - vorrei avere la possibilità di consultare i log di snort in maniera
> friendly: esistono programmi per rendere leggibili i files di log di
> snort e, se si deve installare perl che qualcuno mi indichi come
> installare tutto correttamente (anche i moduli di reportistica) perchè
> io non ci sono riuscito.

Snortsnarf richiede perl e, sinceramente, non l'ho mai usato. Puoi però 
registrare i log di snort in un db e consultarli in maniera friendly con 
acid. Trovi una guida passo passo molto ben fatta in merito sul sito di 
snort.

> Grazie in anticipo a tutti

Di niente
Ciao
Paolo
- -- 
*************************************
  Linux R.U. 223916 R.M. 106779

  Ci vuole giorno molto piovoso
       per annegare papera
*************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)

iD8DBQE+y359E8+EZeDD8mQRArcwAKCbeVi5DT2OpoSi74vjS1TU+lr3rwCfeiCr
8k+UQSpbuMIwyVBydqag1XI=
=+jxy
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista flug-tech