PDA

View Full Version : Snort werkt niet



chipolamas
18-Oct-2011, 02:50
Hallo ik heb snort geinstalleerd maar het wil maar niet werken het enige wat ik moet opgeven is mijn wlan0 en 192.168.1.36/24 meer niet deze waarden staan in de config maar snort werkt niet wat moet er nog meer gedaan worden om het werkende te krijgen.

Knurpht
18-Oct-2011, 04:39
Als je in een terminal "man snort" doet, krijg je de handleiding te zien. Ook "snort --help" geeft een hoop info. Om eerlijk te zijn, ik denk niet dat er veel gebruikers hier zijn die snort gebruiken. Als ik snort start krijg ik ook de link te zien naar Snort :: Home Page (http://snort.org) , misschien dat je daar meer info/hulp kunt vinden.

hcvv
18-Oct-2011, 04:48
Hallo chipolamas,

Welkom hier. Wij willen je graag helpen, maar wij zijn niet helderziende. Je zult echt meer uit moeten uitleggen.

Bijvoorbeeld:


Welke versie van openSUSE gebruik je?
Als snort iets is dat vanuit een desktop wordt gebruikt, welke desktop (KDE, Gnome, andere)?
Ik heb openSUSE 11.4 en kan geen snort in the standaard repos vinden. Waarvandaan/hoe heb je het geïnstalleerd?
Wat is snort eigenlijk en waarvoor heb je het nodig (wij willen ook wel eens iets leren)?

Kortom, alles waarvan je dacht dat wij dat wel zo maar zouden begrijpen, kun je beter vertellen.

chipolamas
18-Oct-2011, 04:51
Is snort wel echt nodig ik ga er vanuit dat Opensuse veilig en aardig dicht zit en waar staan eigenlijk de firewall logs ben best benieuwd wat er zo als wordt vermeld.

hcvv
18-Oct-2011, 05:00
Is snort wel echt nodig ik ga er vanuit dat Opensuse veilig en aardig dicht zit en waar staan eigenlijk de firewall logs ben best benieuwd wat er zo als wordt vermeld.
Is dit een antwoord op mijn vragen?????

chipolamas
18-Oct-2011, 05:51
volgens mij is hier sprake van een misverstand, ik had een topic geplaatst dat snort niet werkte en wilde weten hoe het aan de praat te krijgen daar ben ik nu wel achter.

Snortd moet natuurlijk wel draaien anders gaat het fout deze draait en ik heb vanuit de terminal snort -I gedaan met als interface wlan0 het is allemaal niet zo schokkend wat snort afvangt belangrijker is werkt het en wat doet het.

Onder windows is het over het algemeen bekend dat je een firewall, antivirus en anti malware gebruikt anders ben je het haasje in no time, onder windows gebruik ik Comodo Internet Security met IDS en HIPS is helaas nodig, Linux kent nauwlijks malware/spyware.

Snort is een Intrusion Detection System puur om indringers buiten te houden dat doet de Opensuse Firewall 2 eigenlijk ook al, in mijn ogen is Snort niet echt essentieel maar als je veilig wilt zitten en bang bent voor je home folder dan kan het uitkomst bieden echter zou ik mijn hele systeem willen encrypten is nog veiliger en dan kunnen ze hacken wat ze willen.

Snort is niet standaard in de repo ik ben via een ander topic gewezen op de mogelijkheid snort.ymp aan de softwarebronnen toe te voegen en zo doende snort en oinkmaster voor de rules updates te installeren simpeler kan haast niet.

Ik gebruik het volgende:

Opensuse 11.4 i686 XFCE

hcvv
18-Oct-2011, 06:09
Als ik je alineas van achteren naar voren lees, begin ik e.e.a. te begrijpen. ;)

Als je snort (of iets anders zoekt en het is niet in de standaard repos gebruik je eerst: software.opensuse.org: Search Results (http://software.opensuse.org/search)
In het geval van snort vind je dan inderdaad van alles en daar kan je dan de juiste versie uitzoeken.

Je vergelijking met Windows zegt mij niet zo veel, ik weet bijna niets van Windows.

Zelf heb ik niet eens de Firewall in openSUSE aanstaan. Mijn router/modem blokkeert alle inkomende verkeer. Dat betekent natuurlijk ook dat ik detectie in het modem zou moeten draaien (als ik nieuwsgierig was), want op de systemen in mijn LAN gebeurt niets.
Maar natuurlijk moet je zelf weten wat jij allemaal nodig hebt in jouw omstandigheden.

Heb ik goed begrepen dat je probleem is opgelost en dat je geen vragen meer hebt?

chipolamas
18-Oct-2011, 06:23
Hoi nee en ja het probleem met snort is wel opgelost in de log zag ik wel iets interessant namelijk poortscans van een amazonaws cloud server of iets dergelijks zo'n 26 hits in 10 minuten is wel erg veel, ook ik heb in mijn router de firewall aanstaan en in opensuse staat de firewall standaard aan zonder services.

Poorten als samba, netbios, etc. moet je niet willen gebruiken is vragen om problemen net zo als poort 6000 tot 6015 moet in principe dicht blijven anders kan men via een tcp verbinding hier over verbinding leggen via xorg kortom ik weet wel veel van security als beta tester voor een firewall/antivirus vendor maar in Linux is het gewoon goed geregeld en ga ik niet zo spitten.

Ik heb de firewall en clamav standaard als service draaien maar ik gebruik geen remote software, geen torrent apps en en geen p2p wil ik niet is alleen maar vragen om ellende.

Het liefst heb ik Gnome 3 en mijn hele systeem zou ik eigenlijk encrypt willen zien maar daar is waarschijnlijk een nieuwe topic (s) voor nodig. Uiteraard zal ik mijn kennis delen daar waar het nodig is ik gebruik nu sinds oktober Opensuse en kom van een debian gebaseerde Linux af maar dit bevalt mij beter niet alleen aan snelheid maar gewoon aan gebruikersgemak en uitstekende bronnen van informatie.

hcvv
18-Oct-2011, 06:50
Over clamav en consorten is de mening hier vrijwel unaniem. Als je geen (mail)services verleent aan MicroSoft PCs (en dus voor die klanten de virussen gaat vangen) heeft het geen zin. Er zijn geen Linux virussen. En als ze er zijn, kennen die clamav en zijn vriendjes ze toch niet, dus kunnen ze ze ook niet vinden.

chipolamas
21-Oct-2011, 09:26
Hallo Clamav gebruik ik alleen omdat ik via wine windows applicaties gebruik dus is een antimalware nodig omdat er in suse geen Intrusion detection en host intrusion is ingebouwd moet je je wel wapenen, ik ben nu bezig Libreoffice helemaal uit te pluizen want het doet niet wat powerpoint wel doet en ook Writer doet niet altijd wat ik verwacht doelstelling is straks Windows helemaal te dumpen.

Overigens hoe gaat de firewall van Opensuse om met hack pogingen???????????????????????????????????????????

hcvv
22-Oct-2011, 03:01
De firewall in openSUSE is een interface om iptables te gebruiken (de rules worden bij iedere boot opnieuw toegevoegd als je ze geconfigureerd hebt). Om het voor de eindgebruiker overzichtelijk te houden gaat de GUI uit van een scenario waar je op wilt variëren in eenvoudige bewoordingen.

Er is een hoop documentatie over iptables te vinden op het web, maar je zou kunnen beginnen met

man iptables
In principe zijn het simpele regels (als ik een packet binnenkrijg van A voor poortt P en ......, gooi dan weg). Zuiver technisch. De regels zullen niet kunnen verklaren of een bepaald packet bij een intrusion poging hoort of niet. Dat ligt op en hoger plan.

Zo zal het slot van jouw voordeur niet alle sleutels toelaten. Is dat een inbraakpoging of heb jij als huiseigenaar toevallig in verstrooidheid de verkeerde sleutel geprobeerd?

Bovenstaand mijn simpele gedachte hierover.

Knurpht
22-Oct-2011, 07:52
Ik ga helemaal met Henk mee. Heb jaren geleden een tijdje last gehad van "aankloppers" op poort 22, standaard voor ssh, en bleef maar IP's toevoegen. Even nagedacht en gekeken en ssh op een andere poort gezet, openSUSE's firewall zet dan meteen de juiste poort open. Router firewall ook aangepast, klaar. Kun je ook voor andere services doen. Wil je ze op je openSUSE standaard laten, dan kun je ook je router een andere poort laten forwarden naar poort 22 voor ssh. Werkt trouwens op bijna alle linux distros zo, omdat iptables gewoon deugt. Pogingen tot inloggen kun je simpelweg in /var/log/messages zien.

Over virussen onder Wine: daar heb ik nog geen alarmerende berichten of berichten over daadwerkelijke besmetting over gezien. Nou moet ik er eerlijk bijzeggen dat ik die berichten ook niet volg......net als dat ik geen zin heb om 100 hangsloten aan een deur in een schutting te maken. Daar gaat mijn eigen gevoel van veiligheidsniveau bepaald niet van omhoog.