一般安裝完snort 後就會覺得應該不會在被入侵了,
但是過一陣子就會發現自己有時候的一些行為也會產生Alert.
最出名的就是 BARE BYTE UNICODE ENCODING,
有時候一看log ,一堆都是因為這個alert被擋掉了。
解決方法:
1. 先在 /etc/snort/snort.conf
裡面加入 include threshold.conf
2. 接著在/etc/snort/threshold.conf 裡面加入:
suppress gen_id 119, sig_id 4 # http_inspect: BARE BYTE UNICODE ENCODING
suppress gen_id 119, sig_id 2 # http_inspect: DOUBLE DECODING ATTACK
這樣就會跳過這兩項alert的產生了。
2007年3月6日 星期二
2007年2月26日 星期一
Snort + Guardian 筆記
Snort + Guardian (很好用的IDS系統)
需要的檔案:
snort 2.6
snortrules-snapshot-CURRENT (*注意:這個檔案需要先加入會員才能下載)
guardian-1.7
1. 先安裝Snort
2. 安裝 Snort Rules
先解壓縮: tar -zxvf snortrules
進入 rules 目錄
執行 cp * /etc/snort/rules
3. 設定 Snort
-------------
修改設定檔 /etc/snort/snort.conf
var HOME_NET 192.168.1.0/24 (內部網路IP)
var EXTERNAL_NET !$HOME_NET (表示所有Home_Net 以外的IP)
更改 var RULE_PATH ../rules 成 var RULE_PATH /etc/snort/rules
在 preprocessor stream4_reassemble 後面加一行
(新版預設已經有了) preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139 143 445 513 1433
4. 安裝Guardian
* 需要perl支援
tar zxvf guardian-1.7.tar.gz
cd guardian-1.7
echo > /etc/guardian.ignore
cp guardian.pl /usr/local/bin/.
cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
cp guardian.conf /etc/.
5. 修改 /etc/guardian.conf
AlertFile 改成 /var/log/snort/alert (讀取snort的偵測)
#將你需要忽略的IP放在此檔中
IgnoreFile /etc/guardian.ignore
6. 開機時 自動啟動
修改 /etc/rc.local
加入 /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
需要的檔案:
snort 2.6
snortrules-snapshot-CURRENT (*注意:這個檔案需要先加入會員才能下載)
guardian-1.7
1. 先安裝Snort
2. 安裝 Snort Rules
先解壓縮: tar -zxvf snortrules
進入 rules 目錄
執行 cp * /etc/snort/rules
3. 設定 Snort
-------------
修改設定檔 /etc/snort/snort.conf
var HOME_NET 192.168.1.0/24 (內部網路IP)
var EXTERNAL_NET !$HOME_NET (表示所有Home_Net 以外的IP)
更改 var RULE_PATH ../rules 成 var RULE_PATH /etc/snort/rules
在 preprocessor stream4_reassemble 後面加一行
(新版預設已經有了) preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139 143 445 513 1433
4. 安裝Guardian
* 需要perl支援
tar zxvf guardian-1.7.tar.gz
cd guardian-1.7
echo > /etc/guardian.ignore
cp guardian.pl /usr/local/bin/.
cp scripts/iptables_block.sh /usr/local/bin/guardian_block.sh
cp scripts/iptables_unblock.sh /usr/local/bin/guardian_unblock.sh
cp guardian.conf /etc/.
5. 修改 /etc/guardian.conf
AlertFile 改成 /var/log/snort/alert (讀取snort的偵測)
#將你需要忽略的IP放在此檔中
IgnoreFile /etc/guardian.ignore
6. 開機時 自動啟動
修改 /etc/rc.local
加入 /usr/bin/perl /usr/local/bin/guardian.pl -c /etc/guardian.conf
訂閱:
文章 (Atom)