[LUG.ro] snort+mysql+php+acid sobre Debian Woody no loguea

Sebastián D. Criado lugro@lugro.org.ar
Mon, 20 Sep 2004 14:03:47 -0300


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hola, últimamente he estado probando una configuración de
Snort+mysql+php+acid y se me han presentado algunos problemas.

Les cuento las versiones que estoy usando: 
Snort   1.8.4-beta1 (Build 91)
mysql   3.23.49
php4    
acid    0.9.6b20

Todo sobre Debian Woody.

El problema es el siguiente a partir de la configuración snort.conf que
se encuentra en el directorio /etc/snort.

Si defino la variable HOME_NET como any funciona todo ok. el Snort
loguea así como guarda en la base de datos mysql que puedo consultar
perfectamente con el acid.
Tengo definida la variable EXTERNAL_NET con la interfase externa.

Ahora, el problema es que de esta forma se producen muchas falsas
alarmas, dado que cualquier paquete que se mande afuera y que se
obtengan respuestas es considerado un ataque.

Si le configuro la ip de la red interna y mascara, supongamos
192.168.1.0/24, no loguea nada.

He probado compilando el snort, pero el problema persiste, por lo que descarto 
un problema en la interoperabilidad entre mysql y snort.

Se entiende el problemilla?

Quería saber si alguien ha tenido que lidiar con el snort+php+mysql+acid

Ya he probado usar el snort común, sin mysql, y hace exactamente lo
mismo.

Me he leido el libro de Bruce Perens sobre el tema:
http://www.informit.com/title/0131407333

y un how-to bastante explicativo:
http://linuca.org/body.phtml?nIdNoticia=13

Así como la documentación propia del snort.

Saludos.-
- -- 
- --
Sebastián D. Criado - scriado{en}ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
                                                   Anónimo.

			
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFBTw108hmHQ8ZCg0IRArUTAJ4gOL+rNdxfHUVNpaMP4eR5enqHggCgwghz
wM4yIyqrIB8kcNn8tmC4bKI=
=P8Ex
-----END PGP SIGNATURE-----