|
03.06.2017, 10:09
|
#1 |
|
Senior Member
Регистрация: 22.10.2015
Адрес: Там где сосны и песок
Сообщений: 1,534
Вес репутации: 1601   |
SNORT на OpenWRT
Народ, никто snort
 на OpenWrt 15.05 не пробовал ?Зарегился скачал правила snortrules-snapshot-2990.tar: https://www.snort.org/ Установил из официального репозитория snort Version 2.9.7.2 GRE (Build 177) Корень на флешке, создал все нужные папочки и файлы, скопировал скаченные файлы по месту: http://c-sec.ru/snort/Snort-Part-3-C...Run-as-a-NIDS/ Прописал интерфейс pppoe-wan в nano /etc/config/snort Проверил nano /etc/init.d/snort чтобы было: Код:
procd_set_param command $PROG "-c" "$config_file" "-q" "--daq-dir" "/usr/lib/daq/" "-i" "$interface" "-s" "-N" За коммментил все правила кроме local.rules (неизвестно как железо потянет, хотя на малинке работает). Вообщем вроде все вылизал  , получаю ошибку:Код:
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log Verifying Preprocessor Configurations! ERROR: Can't find pcap DAQ! Fatal Error, Quitting..  === Поставил libpcap, вроде работает  Только проверить не получается роутер падает вхлам
__________________
Читаю ваши мысли по аватару ... Последний раз редактировалось sunny; 03.06.2017 в 10:54. |
|
|
|
03.06.2017, 14:36
|
#2 |
|
Moderator
Регистрация: 20.07.2014
Адрес: МСК
Сообщений: 991
Вес репутации: 1031 |
А что это? И как может быть использовано?
|
|
|
|
|
03.06.2017, 15:02
|
#3 |
|
Senior Member
Регистрация: 22.10.2015
Адрес: Там где сосны и песок
Сообщений: 1,534
Вес репутации: 1601 |
Tohin
Прикольная штука === Отслеживает весь трафик все фиксируя и блокируя опасное Система обнаружения вторжений на базе Snort IDS: http://www.securitylab.ru/blog/perso...anov/29983.php Статья старая 5 Октября, 2012 Ставят на серваки в основном, блокирует ддос, малвари, браузерный фишинг, бэкдоры и прочую бяку Версия вполне стабильная, есть платные правила, регулярные обновления правил, то что было платно - через месяц можно скачать бесплатно по регистрации: Вот еще неплохая статья: https://www.opennet.ru/base/sec/snort_ids.txt.html На openwrt/LEDE работает: https://wiki.openwrt.org/doc/howto/snort Но железо должно быть относительно мощным похоже, нехватка памяти - даже с корнем на флешке и свапом в моем случае заваливает роутер напрочь === Регистрация sing out - стандартное мыло, паспорт, подтверждение с мыла. Зайдя на сайт можно будет скачать архив с Rules - правила фильтрации трафика. https://www.snort.org/
__________________
Читаю ваши мысли по аватару ... Последний раз редактировалось sunny; 03.06.2017 в 15:12. |
|
|
|
|
04.06.2017, 21:54
|
#4 | |
|
Senior Member
Регистрация: 02.04.2012
Адрес: Питер
Сообщений: 1,125
Вес репутации: 1311 |
Цитата:
__________________
istarik.ru |
|
|
|
|
|
04.06.2017, 23:04
|
#5 | |
|
Senior Member
Регистрация: 22.10.2015
Адрес: Там где сосны и песок
Сообщений: 1,534
Вес репутации: 1601 |
Цитата:
у кого-то, что-то точно блокирует Наверное некоторые "не умеют их готовить"... У меня сразу роняет роутер отжирая почти 300Мб Мне просто было интересно, удастся ли завеcти на этом железе.. https://wiki.openwrt.org/doc/howto/snort ======================================== ======= Перечень свежих правил под спойлером: Развернуть для просмотраКод:
include $RULE_PATH/app-detect.rules include $RULE_PATH/attack-responses.rules include $RULE_PATH/backdoor.rules include $RULE_PATH/bad-traffic.rules include $RULE_PATH/blacklist.rules include $RULE_PATH/botnet-cnc.rules include $RULE_PATH/browser-chrome.rules include $RULE_PATH/browser-firefox.rules include $RULE_PATH/browser-ie.rules include $RULE_PATH/browser-other.rules include $RULE_PATH/browser-plugins.rules include $RULE_PATH/browser-webkit.rules include $RULE_PATH/chat.rules include $RULE_PATH/content-replace.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/dos.rules include $RULE_PATH/experimental.rules include $RULE_PATH/exploit-kit.rules include $RULE_PATH/exploit.rules include $RULE_PATH/file-executable.rules include $RULE_PATH/file-flash.rules include $RULE_PATH/file-identify.rules include $RULE_PATH/file-image.rules include $RULE_PATH/file-java.rules include $RULE_PATH/file-multimedia.rules include $RULE_PATH/file-office.rules include $RULE_PATH/file-other.rules include $RULE_PATH/file-pdf.rules include $RULE_PATH/finger.rules include $RULE_PATH/ftp.rules include $RULE_PATH/icmp-info.rules include $RULE_PATH/icmp.rules include $RULE_PATH/imap.rules include $RULE_PATH/indicator-compromise.rules include $RULE_PATH/indicator-obfuscation.rules include $RULE_PATH/indicator-scan.rules include $RULE_PATH/indicator-shellcode.rules include $RULE_PATH/info.rules include $RULE_PATH/malware-backdoor.rules include $RULE_PATH/malware-cnc.rules include $RULE_PATH/malware-other.rules include $RULE_PATH/malware-tools.rules include $RULE_PATH/misc.rules include $RULE_PATH/multimedia.rules include $RULE_PATH/mysql.rules include $RULE_PATH/netbios.rules include $RULE_PATH/nntp.rules include $RULE_PATH/oracle.rules include $RULE_PATH/os-linux.rules include $RULE_PATH/os-mobile.rules include $RULE_PATH/os-other.rules include $RULE_PATH/os-solaris.rules include $RULE_PATH/os-windows.rules include $RULE_PATH/other-ids.rules include $RULE_PATH/p2p.rules include $RULE_PATH/phishing-spam.rules include $RULE_PATH/policy-multimedia.rules include $RULE_PATH/policy-other.rules include $RULE_PATH/policy.rules include $RULE_PATH/policy-social.rules include $RULE_PATH/policy-spam.rules include $RULE_PATH/pop2.rules include $RULE_PATH/pop3.rules include $RULE_PATH/protocol-dns.rules include $RULE_PATH/protocol-finger.rules include $RULE_PATH/protocol-ftp.rules include $RULE_PATH/protocol-icmp.rules include $RULE_PATH/protocol-imap.rules include $RULE_PATH/protocol-nntp.rules include $RULE_PATH/protocol-other.rules include $RULE_PATH/protocol-pop.rules include $RULE_PATH/protocol-rpc.rules include $RULE_PATH/protocol-scada.rules include $RULE_PATH/protocol-services.rules include $RULE_PATH/protocol-snmp.rules include $RULE_PATH/protocol-telnet.rules include $RULE_PATH/protocol-tftp.rules include $RULE_PATH/protocol-voip.rules include $RULE_PATH/pua-adware.rules include $RULE_PATH/pua-other.rules include $RULE_PATH/pua-p2p.rules include $RULE_PATH/pua-toolbars.rules include $RULE_PATH/rpc.rules include $RULE_PATH/rservices.rules include $RULE_PATH/scada.rules include $RULE_PATH/scan.rules include $RULE_PATH/server-apache.rules include $RULE_PATH/server-iis.rules include $RULE_PATH/server-mail.rules include $RULE_PATH/server-mssql.rules include $RULE_PATH/server-mysql.rules include $RULE_PATH/server-oracle.rules include $RULE_PATH/server-other.rules include $RULE_PATH/server-samba.rules include $RULE_PATH/server-webapp.rules include $RULE_PATH/shellcode.rules include $RULE_PATH/smtp.rules include $RULE_PATH/snmp.rules include $RULE_PATH/specific-threats.rules include $RULE_PATH/spyware-put.rules include $RULE_PATH/sql.rules include $RULE_PATH/telnet.rules include $RULE_PATH/tftp.rules include $RULE_PATH/virus.rules include $RULE_PATH/voip.rules include $RULE_PATH/web-activex.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/web-cgi.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-coldfusion.rules include $RULE_PATH/web-frontpage.rules include $RULE_PATH/web-iis.rules include $RULE_PATH/web-misc.rules include $RULE_PATH/web-php.rules include $RULE_PATH/x11.rules [свернуть] По названию можно понять, зачем и для чего
__________________
Читаю ваши мысли по аватару ... Последний раз редактировалось sunny; 06.06.2017 в 11:38. |
|
|
|
|
 |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Линейный вид
