PIX com snort

moonspell
(usa Ubuntu)

Enviado em 25/05/2009 - 17:30h

Pessoal,

implementei o snort na minha rede. De início, configurei ele pra mandar td para um arquivo .log para testar e, caso desse certo, passaria a usar o Mysql para o armazenamento.
Porém, ainda não recebi log algum...Devo apontar o PIX (Cisco) para o servidor? O snort recebe dados somente através de syslog? Ou só devo colocar um "any" no "external net" e pronto?
Desculpem a pergunta besta, mas ainda to apanhando mto. Obrigado!!

renato_pacheco
(usa Debian)

Enviado em 25/05/2009 - 17:40h

É o seguinte:

- no HOME_NET vc deve colocar o IP da máquina q o snort tá instalado.
- na EXT_NET é a variável q o snort irá vasculhar. Isso depende muito d como a sua rede está estruturada. Existe roteadores (não sei se esse PIX tem esse recurso, pq eu não o conheço) q possuem uma porta d espelhamento, ou seja, todos os pacotes q passam pelo roteador são espelhados nessa porta. Dae basta colocar o IP desse roteador. Caso não tenha, vc deve arranjar uma maneira d colocar o seu snort entre a conexão da internet e a rede local (iptables - NAT).
- Tem jeito, sim, d colocar os logs em outra saída. Não sei se no seu snort.conf possui os exemplos, mas se tiver um monte d linha comentada lá, aconselho a lê-las com calma, q a resposta estará lá.

moonspell
(usa Ubuntu)

Enviado em 25/05/2009 - 17:53h

Amigo,

acho q entendi. Devo configurar o recurso de mirroring no switch para q ele envie td o q passa pelo firewall (PIX, da Cisco) para o snort, correto? E o syslog? Devo utilizá-lo tbm? Já tenho um syslog server na minha rede...

renato_pacheco
(usa Debian)

Enviado em 25/05/2009 - 17:58h

Aaaahhh, tá! O PIX é um firewall! Hhuahiuaha! Desculpe a minha ignorância. Com relação ao syslog vc até pode deixar os seus logs nele. O problema é q o snort pode dar falsos positivos, pois os logs d portscan e dos relatórios normais ficam juntos. Para separar vc pode configurar dentro do preprocessor pfportscan (no snort.conf). Lá msm possui um exemplo d como vc loga em outro arquivo e ainda colocando algumas opções.

moonspell
(usa Ubuntu)

Enviado em 25/05/2009 - 18:03h

Só confirmando então...devo utilizar somente o espelhamento da porta onde tá ligado o firewall no switch né?

moonspell
(usa Ubuntu)

Enviado em 25/05/2009 - 18:07h

Outra coisa, devo monitorar todas as interfaces do firewall?

renato_pacheco
(usa Debian)

Enviado em 25/05/2009 - 23:31h

Vc pode fazer assim:

Internet >> snort >> firewall >> rede local

Assim vc detectará intrusos advindos da internet e depois bloqueia-os com o seu firewall. Dae é só fazer com q a rede local passe seu tráfego primeiro pelo firewall, sacou?

ederflopes
(usa Debian)

Enviado em 27/05/2009 - 17:35h

posso instalar o snort junto com o meu firewall (iptables) ??

isso pode dar algum problema?

renato_pacheco
(usa Debian)

Enviado em 27/05/2009 - 17:52h

Pode, sim, só q, falando em segurança, se conseguirem derrubar sua máquina, derrubará 2 serviços d uma só vez. Pense nisso... talvez não terá problemas, mas nunca se sabe, né?

ederflopes
(usa Debian)

Enviado em 27/05/2009 - 18:33h

Bom vou ter o snort o iptables o sarj o ntop o squidguard e nagios na minha rede na parte de linux, estava pensando em colocar o squid, squidguard ntop e sarj em um servidor e o iptables e o snort em outra... vc acha q tem uma forma melhor de difivir isso?...

o snort é melhor ficar sozinho?

renato_pacheco
(usa Debian)

Enviado em 28/05/2009 - 00:17h

No esquema q eu coloquei, pode ficar assim:

Internet >> snort >> firewall >> rede local

Aonde q fica o snort, vc coloca o sarg, o ntop, o nagios e o squidguard, q não tem problema. O bom do proxy é q ele tb pode fazer restrição e bloqueio d diversas formas e o restante das ferramentas iria monitorar os serviços ativos e analisar os pacotes q entram e saem da sua rede. É o q eu acho. Talvez exista uma forma mais eficaz d montar isso ae, como ex., colocar o firewall em DMZ (zona demilitarizada - não sei como fazer) e outras coisas q eu não tenho conhecimento.