Diferència entre revisions de la pàgina «Snort Basics»
(→Snort (Open Source Network Intrussion System)) |
|||
| Línia 14: | Línia 14: | ||
Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump | Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump | ||
| + | |||
| + | <pre> | ||
#snort --help | #snort --help | ||
#snort -q -v -i eth0 // -q quiet, -v verbose, -i interface | #snort -q -v -i eth0 // -q quiet, -v verbose, -i interface | ||
| + | #snort -q -A console -i eth0 -c /etc/snort/snort.conf // -A tipus d'alertas 'fast', 'full', 'console', 'test', 'none' | ||
| + | </pre> | ||
| − | |||
=== Configuració === | === Configuració === | ||
| Línia 25: | Línia 28: | ||
/etc/snort/snort.conf | /etc/snort/snort.conf | ||
/etc/snort/rules/* | /etc/snort/rules/* | ||
| + | /etc/snort/classification.config # Classificació i priorització de les regles | ||
| Línia 35: | Línia 39: | ||
=== Regles === | === Regles === | ||
| + | |||
| + | Les regles es codifiquen amb signatures. | ||
| + | |||
==== Escaneig de Ports ==== | ==== Escaneig de Ports ==== | ||
| + | |||
| + | Al fitxer | ||
| + | include /etc/snort/rules/scan.rules | ||
| + | |||
| + | |||
| + | Per exemple | ||
| + | <pre> | ||
| + | $nmap -sV -sT -p T:80 192.168.1.1 | ||
| + | </pre> | ||
Revisió del 17:22, 18 ago 2011
UF2-NF1._Atacs_i_contramesures_en_sistemes_personals#Eines_preventives_i_pal.C2.B7liatives
Contingut
Snort (Open Source Network Intrussion System)
Funciona 3 modes:
- Sniffer
- Logger
- IDS (IPS)
Command Line
Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump
#snort --help #snort -q -v -i eth0 // -q quiet, -v verbose, -i interface #snort -q -A console -i eth0 -c /etc/snort/snort.conf // -A tipus d'alertas 'fast', 'full', 'console', 'test', 'none'
Configuració
/etc/snort/snort.conf /etc/snort/rules/* /etc/snort/classification.config # Classificació i priorització de les regles
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
var HOME_NET 192.168.1.1
var EXTERNAL_NET 192.168.0.2
Regles
Les regles es codifiquen amb signatures.
Escaneig de Ports
Al fitxer include /etc/snort/rules/scan.rules
Per exemple
$nmap -sV -sT -p T:80 192.168.1.1
Utilitzar snort i Firewall Tester http://www.inversepath.com/ftester.html
http://www.howtoforge.com/test_your_linux_firewall_with_ftester
Altres: http://tomahawk.sourceforge.net/, sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), scapy
