Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2011-06-05 18:18:03

  kondzio14 - Użytkownik

kondzio14
Użytkownik
Zarejestrowany: 2008-02-14

Zlecenie: analiza wyników Snorta

Komputer ze Snortem stał pewien czas (ok 8 dni) w sieci komputerowej przed firewallem. Wyniki pracy rejestrował do bazy MySQL w ramach ACID (acidbase). Potrzebuję kogoś kto mi je w miarę sensownie opisze. Oczywiście w pełni można podpierać wiedzą o Google (dla sprytnych przepisywanie tekstu z ang na pl :)). Jako, że zlecenie to za opłatą. Chętnych proszę o kontakt tutaj bądź na PW.

PS. Oczywiście nie chodzi o opis całości badań, tylko wybranych, ciekawszych momentów.

Offline

 

#2  2011-06-05 19:12:07

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Zlecenie: analiza wyników Snorta

Snorta trzymaj za firewallem, to nie będziesz miał problemów.
Bo w internecie jest tyle śmiecia, różnych przeadresowanych i zwalonych pakietów, spory ruch wirusów i innych robaków, które szukają ofiar, że można w tym utonąć.

W dodatku 99% danych w bazie masz bezwartościowych.
W dodatku, jeśli włączyłeś wszystkie zestawy  reguł Snorta, to masz też sporo fałszywych ataków, dotyczących usług, których w ogóle nie masz w sieci.

Snorta najlepiej spiąć  ze Snortsamem lub Guardianem, żeby blokował połączenia,wtedy się przynajmniej na coś przyda - będzie działał jako IPS.

Może też np logować podejrzaną aktywność wewnątrz sieci lokalnej, wykrywając maszyny zainfekowane robakiem sieciowym.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:08)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2011-06-05 19:16:25

  kondzio14 - Użytkownik

kondzio14
Użytkownik
Zarejestrowany: 2008-02-14

Re: Zlecenie: analiza wyników Snorta

Czy są fałszywe, czy nie, nie ma to w tej chwili znaczenia, ale w pełni popieram treść Twojego poprzedniego posta.
Zarejestrowano 63 różnych alertów, mogę je udostępnić...
[b]Jacekalex[/b] może zechcesz opisać kilka wybranych?

Ostatnio edytowany przez kondzio14 (2011-06-06 06:54:58)

Offline

 

#4  2011-06-05 20:11:13

  Bodzio - Ojciec Założyciel

Bodzio
Ojciec Założyciel
Skąd: Gorlice
Zarejestrowany: 2004-04-17
Serwis

Re: Zlecenie: analiza wyników Snorta

Przeniosłem, bo to nie ogłoszenie


Debian jest lepszy niż wszystkie klony
Linux register users: #359018
[img]http://www.freebsd.org/gifs/powerlogo.gif[/img]
[url=https://goo.gl/photos/5XGKFkvaMimLwM2s9]Beskid Niski[/url]

Offline

 

#5  2011-06-05 20:52:46

  azhag - Admin łajza

azhag
Admin łajza
Skąd: Warszawa
Zarejestrowany: 2005-11-15

Re: Zlecenie: analiza wyników Snorta

[quote=Bodzio]Przeniosłem, bo to nie ogłoszenie[/quote]
Przenoszę na nowo, bo to jest ogłoszenie — zlecenie wykonania zadania.


Błogosławieni, którzy czynią FAQ.
[url=http://www.opencaching.pl]opencaching[/url] :: [url=http://dug.net.pl/sources.list]debian sources.list[/url] :: [url=http://www.linuxportal.pl/blogi/azhag/wpisy]coś jakby blog[/url] :: [url=http://dug.net.pl/]polski portal debiana[/url] :: linux user #403712

Offline

 

#6  2011-06-05 21:17:17

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Zlecenie: analiza wyników Snorta

Odpal sobie [url=http://base.secureideas.net/][b]Base[/b][/url] do Snorta, i ta, o ile pamiętam, przy każdym alercie będzie link do strony opisującej dane zagrożenie ,o ile pamiętam, bo snorta nie używam od jakiegoś czasu inaczej, jak IPS z Guardianem, w logi nie zaglądam, o ile wszystko działa jak należy.
A to widzę po adresach dorzucanych do fw.

Edyta:
Zamień zlecenie na czytanie ze zrozumieniem:

[b]# alert tcp $EXTERNAL_NET any -> $HOME_NET 20034 (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection request"; flow:to_server,established; content:"BN |00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; flowbits:set,backdoor.netbus_2.connect; flowbits:noalert; classtype:misc-activity; sid:3009; rev:4;)
[b]# alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:"BACKDOOR NetBus Pro 2.0 [/b]connection established"; flow:from_server,established; flowbits:isset,backdoor.netbus_2.connect; content:"BN|10 00 02 00|"; depth:6; content:"|05 00|"; depth:2; offset:8; classtype:trojan-activity; sid:115; rev:12;)[/quote]
To kawałek backdoor.rules.
Przy każdej regule jest komentarz z nazwą np [url=https://encrypted.google.com/#hl=pl&source=hp&q=NetBus+Pro+2.0+&btnG=Szukaj+w+Google&aq=f&aqi=&aql=&oq=&bav=on.2,or.r_gc.r_pw.&fp=d604dbe9e5f57299&biw=1024&bih=561]NetBus Pro 2.0[/url]

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-05 23:27:55)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2011-06-06 06:50:23

  kondzio14 - Użytkownik

kondzio14
Użytkownik
Zarejestrowany: 2008-02-14

Re: Zlecenie: analiza wyników Snorta

Ok, już sobie poradziłem, Nie obawiałem się tego, tylko lenistwo się odezwało - wiem, zły podpowiadacz :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)

[ Generated in 0.013 seconds, 16 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00146 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.119.133.138' WHERE u.id=1
0.00067 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.119.133.138', 1732384259)
0.00043 SELECT * FROM punbb_online WHERE logged<1732383959
0.00079 DELETE FROM punbb_online WHERE ident='18.119.28.213'
0.00079 DELETE FROM punbb_online WHERE ident='18.221.192.248'
0.00075 DELETE FROM punbb_online WHERE ident='3.149.254.25'
0.00074 DELETE FROM punbb_online WHERE ident='52.167.144.156'
0.00078 DELETE FROM punbb_online WHERE ident='85.208.96.206'
0.00067 SELECT topic_id FROM punbb_posts WHERE id=174677
0.00007 SELECT id FROM punbb_posts WHERE topic_id=19104 ORDER BY posted
0.00082 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=19104 AND t.moved_to IS NULL
0.00004 SELECT search_for, replace_with FROM punbb_censoring
0.00136 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=19104 ORDER BY p.id LIMIT 0,25
0.00082 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=19104
Total query time: 0.01033 s