Re: snort rules
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 En/La rpb ha escrit, a 22/05/05 17:44: | Hola, ja vaig obrir un fil sobre el tema, però no va tenir massa èxit... torno | a insistir, perquè jo sol no m'en surto. Resulta que no puc baixar-me les | rules de l'snort, doncs crec que ara només es pot fer per suscripció (pagant, | i no pas poc). El log: | | Loading /etc/oinkmaster.conf | Downloading file from | http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz... | /usr/sbin/oinkmaster: Error: could not download file. Output from wget | follows: | | --06:47:30-- http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz | = `/var/run/oinkmaster/oinkmaster.UitqJHocFA/snortrules.tar.gz' | Resolent www.snort.org... 199.107.65.177 | Conectant a www.snort.org[199.107.65.177]:80... conectat. | HTTP: Petició enviada, esperant resposta... 404 Not Found | 06:47:31 ERROR 404 Not Found. | | | Oink, oink. Exiting... | | Algú sap si hi ha una versió lliure de rules per l'snort per poder | actualitzar-les? o simplement snort.org s'ha passat al cantó obscur de la | força i ha arribat el moment de fer servir altres IDS? i si aquest és el cas, | quin em recomaneu? | | Gràcies | | Ricard | | Hola Ricard, Han traslladat. Ara es troben a l'enllaç http://www.snort.org/pub-bin/snapshots.cgi. No has de pagar res. Són gratuïts els arxius. Acabo de provar-ho. Gràcies per al teu missatge. Respondré més tard però pensava que l'Snort era més important. Salut, Joni -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFCkX+K64+f0AXUe+4RAl3WAJ936KKXklvS63zDDyop1hJrc5f1eQCghkjk JQXILvTuOsJ8PsVFDt1LOe0= =3/mh -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort rules
Gràcies per les rules! pensava que aprendre el català seria la cosa més normal. Hòstia que em vaig enganyar! M'ho adono quan he de trucar el servei tècnic de telefotutica. Quin malson! En quant a l'idioma, a timofònica (i per extensió als altres operadors) al servei tècnic tant és que els hi parlis en català, castellà o swahili, si fas servir Linux tampoc entendran res del què els hi dius... i si miraculosament t'entenen, tampoc et solucionaran res... Una vegada que vaig tenir un problema de configuració en Linux, (i un cop va entendre que jo no tenia el botó inicio - Panel de control ni tant sols sistema gràfic) la resposta va ser (en castellà, això si) jo no sé res de Linux, però trucaré a un cosí meu que si en sap, i ja et trucaré Encara l'espero... Ricard
Re: snort rules
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 En/La rpb ha escrit, a 22/05/05 17:44: | Hola, ja vaig obrir un fil sobre el tema, però no va tenir massa èxit... torno | a insistir, perquè jo sol no m'en surto. Resulta que no puc baixar-me les | rules de l'snort, doncs crec que ara només es pot fer per suscripció (pagant, | i no pas poc). El log: | | Loading /etc/oinkmaster.conf | Downloading file from | http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz... | /usr/sbin/oinkmaster: Error: could not download file. Output from wget | follows: | | --06:47:30-- http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz | = `/var/run/oinkmaster/oinkmaster.UitqJHocFA/snortrules.tar.gz' | Resolent www.snort.org... 199.107.65.177 | Conectant a www.snort.org[199.107.65.177]:80... conectat. | HTTP: Petició enviada, esperant resposta... 404 Not Found | 06:47:31 ERROR 404 Not Found. | | | Oink, oink. Exiting... | | Algú sap si hi ha una versió lliure de rules per l'snort per poder | actualitzar-les? o simplement snort.org s'ha passat al cantó obscur de la | força i ha arribat el moment de fer servir altres IDS? i si aquest és el cas, | quin em recomaneu? | | Gràcies | | Ricard | | Hola Ricard, I les informacions sobre l'Snort, eren utils? Ja tens snortrules-snapshot-2_2.tar.gz (alerta! ja una versió més recent: 2.3) Joni -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) iD8DBQFCkbcx64+f0AXUe+4RAq0aAJ9emGUMjmx7O5ZAwD7xFvVD6loinwCfZaqv fkAnxFJEj78hBY5YCSj4BrU= =K8Z5 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: snort rules
I les informacions sobre l'Snort, eren utils? Perfectes. Lo estrany és que no ho vaig veure mencionat a la web de Snort, i sí les rules de pagament (que deuen ser per empreses, o vés a saber per què). O no estava mencionat, o ja no veig tres dalt d'un burro (català, of course). Ja tens snortrules-snapshot-2_2.tar.gz (alerta! ja una versió més recent: 2.3) Si, ja sé que hi ha una més recent, però com no l'utilitzo en entorn de producció sino a casa, per no complicar-me la vida actualitzo el sistema amb apt, quan disposin de la 2.3 ja s'instalarà solet. En quant a lo del router, (l'altre fil que tens encetat, però et contesto aquí perquè sóc mandrós de mena) em sonen campanes de que en alguns d'ells timofònica utilitzava com a login i password 1234. Per provar... Ricard
Què passa amb snort?
Hola Ja fa temps que en el meu servidor casol amb Debian Sarge utilitzo Snort com IDS, que s'actualitza (s'actualitzava) automticament des de cron. El cas s que ja fa un temps que rebo el segent missatge en intentar actualitzar les rules: Loading /etc/oinkmaster.conf Downloading file from http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz... /usr/sbin/oinkmaster: Error: could not download file. Output from wget follows: --06:47:31-- http://www.snort.org/dl/rules/snortrules-snapshot-2_2.tar.gz = `/var/run/oinkmaster/oinkmaster.YQxw6hqHbH/snortrules.tar.gz' Resolent www.snort.org... 199.107.65.177 Conectant a www.snort.org[199.107.65.177]:80... conectat. HTTP: Petici enviada, esperant resposta... 404 Not Found 06:47:36 ERROR 404 Not Found. Oink, oink. Exiting... Primer pensava que eren errors ocasionals de connexi, aix que vaig intentar baixar-me les rules a manubrio. La meva sorpresa en accedir a la web de snort s primer, que el fitxer havia canviat de localitzaci, i segon, que ara em demanen registrar-me per a poder-hi accedir. (A pesar d'aix, les actualitzacions a travs de apt no em van avisar mai d'aquest fet, normalment debconf t'avisa quan algunes coses d'aquest estil han canviat, no?). B, la cosa s que jo tinc alrgia a registrar-me alegrement per internet deixant les meves dades per tot arreu (paranoic? potser si...). A ms, llegeixo el segent: Subscribers receive: The fastest access to VRT Certified rule updates - The same quality ruleset developed for Sourcefire customers up to 5 days faster Coverage in advance of exploits - The VRT proactively focus on the underlying vulnerability, rather than simply reacting to known attacks The ability to submit false positives directly to the VRT A detailed submission form sends false positives reports directly to the VRT Snort training from the source Learn how to take advantage of the power behind Snort rules with 10% off any Sourcefire Snort Training. Pricing $195/month $495/quarter $1795/year Qu passa amb snort? ara tinc que pagar (i no pas poc) per actualitzar les rules? Ricard
snort
Sols un dubte, quins errors donava snort quan no s'iniciava? El missatge no el recordo exactament. Bàsicament em deia que en el arxiu de rules exploit.rules hi havia una rule que no entenia, i que es deia asn1, concretament la vaig trobar en una rule sobre un exploit a kerberos, que com no utilitzo, la vaig comentar i ja va iniciar-se normalment.
Re: snort
Hola, si no m'equivoque a woody està la 1.9 i a sarge la 2.2, que tenen algunes diferències importants al fitxer de configuració. No sé com és el fitxer de configuració per defecte a sarge, però sona a que no té configurats els 'output plugins'. Prova a executar: # grep ^output /etc/snort/snort.conf Pareix que sols tens configurada l'eixida en tcpdump, si vols veure les alertes als logs: output alert_syslog: LOG_AUTH LOG_ALERT Hi han molts bons exemples al mateix fitxer de configuració. No crec que les regles tinguen res a veure. Sols un dubte, quins errors donava snort quan no s'iniciava? Sort, Jose Ricard [EMAIL PROTECTED] va escriure: Hola Tenia una woody amb l'snort, que funcionava com una seda. Però com no estic mai quiet quan convé, vaig actualitzar a sarge, i amb ell la versió d'snort. El cas és que la versió anterior em detectava quasi qualsevol cosa que passés a la xarxa, i l'actual no s'entera de res. Puc fer un nmap des d'un altre ordinador, i no es veu en els logs (que per altra banda, ara són en tcpdump, pel que necessito l'ethereal per llegir-los, no com abans que n'hi havia prou amb tail) No sóc cap expert, però suposo que alguna cosa puc tocar per que funcioni millor, imagino que és cosa de les rules que tinc, les que venen per defecte (per cert, n'he hagut de comentar algunes perque l'snort hi trobava errors i no s'iniciava.) Algú sap com fer que l'snort sigui més sensible? Gràcies Ricard
Re: snort
Hola Tenia una woody amb l'snort, que funcionava com una seda. Però com no estic mai quiet quan convé, vaig actualitzar a sarge, i amb ell la versió d'snort. El cas és que la versió anterior em detectava quasi qualsevol cosa que passés a la xarxa, i l'actual no s'entera de res. Puc fer un nmap des d'un altre ordinador, i no es veu en els logs (que per altra banda, ara són en tcpdump, pel que necessito l'ethereal per llegir-los, no com abans que n'hi havia prou amb tail) No sóc cap expert, però suposo que alguna cosa puc tocar per que funcioni millor, imagino que és cosa de les rules que tinc, les que venen per defecte (per cert, n'he hagut de comentar algunes perque l'snort hi trobava errors i no s'iniciava.) Algú sap com fer que l'snort sigui més sensible? Gràcies Ricard Has provat l'Acidlab ???