[LUG.ro] snort+mysql+php+acid sobre Debian Woody no loguea

Sebastián D. Criado lugro@lugro.org.ar
Mon, 20 Sep 2004 18:33:38 -0300


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Lunes 20 Septiembre 2004 17:52 Pablo, escribió:
> De: http://www.snort.org/docs/FAQ.txt
>
> Saque esto:
>
> ----------------
> 3.5 How do I set EXTERNAL_NET?
>
> Many people set EXTERNAL_NET to ``any''.
>
>     var EXTERNAL_NET any
>
> By setting it to ``any'' Snort will alert you on any traffic matching a
> rule coming into or leaving your network.
>
> To cut down on the work that Snort has to do, many people set it to ``not
> HOME_NET''.
>
>     var EXTERNAL_NET !$HOME_NET
>
> This tells Snort to define EXTERNAL_NET as everything except HOME_NET. For
> most
> people this is the best thing to set it to.
> ----------------
>
> Los puntos 3.2 en adelante también están buenos.


Si, lo había visto, pero seguía sin funcionar. El tema que define allí en 
EXTERNAL_NET es cualquiera menos HOME_NET. Pero cuando defino HOME_NET no 
loguea.
Gracias igual.
Saluds.-
>
>                     Saludos. Pablo.
>
> PD: te lo mando con copia a tu correo pq creo que no están llegando
> mis correos a la lista.... he de tener algo mal configurado... con tiempo
> lo veré : ·)  ahora no tengo !!!!!!
>
> ----- Original Message -----
> From: "Sebastián D. Criado" <scriado@ciudad.com.ar>
> To: <lugro@lugro.org.ar>
> Sent: Monday, September 20, 2004 2:03 PM
> Subject: [LUG.ro] snort+mysql+php+acid sobre Debian Woody no loguea
>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola, últimamente he estado probando una configuración de
> Snort+mysql+php+acid y se me han presentado algunos problemas.
>
> Les cuento las versiones que estoy usando:
> Snort 1.8.4-beta1 (Build 91)
> mysql 3.23.49
> php4
> acid 0.9.6b20
>
> Todo sobre Debian Woody.
>
> El problema es el siguiente a partir de la configuración snort.conf que
> se encuentra en el directorio /etc/snort.
>
> Si defino la variable HOME_NET como any funciona todo ok. el Snort
> loguea así como guarda en la base de datos mysql que puedo consultar
> perfectamente con el acid.
> Tengo definida la variable EXTERNAL_NET con la interfase externa.
>
> Ahora, el problema es que de esta forma se producen muchas falsas
> alarmas, dado que cualquier paquete que se mande afuera y que se
> obtengan respuestas es considerado un ataque.
>
> Si le configuro la ip de la red interna y mascara, supongamos
> 192.168.1.0/24, no loguea nada.
>
> He probado compilando el snort, pero el problema persiste, por lo que
> descarto
> un problema en la interoperabilidad entre mysql y snort.
>
> Se entiende el problemilla?
>
> Quería saber si alguien ha tenido que lidiar con el snort+php+mysql+acid
>
> Ya he probado usar el snort común, sin mysql, y hace exactamente lo
> mismo.
>
> Me he leido el libro de Bruce Perens sobre el tema:
> http://www.informit.com/title/0131407333
>
> y un how-to bastante explicativo:
> http://linuca.org/body.phtml?nIdNoticia=13
>
> Así como la documentación propia del snort.
>
> Saludos.-
> - --
> - --
> Sebastián D. Criado - scriado{en}ciudad.com.ar
> L.U.G.R.o - http://www.lugro.org.ar
> GNU/Linux Registered User # 146768
> - -------------------------------------------------------------------
> "Si el Universo fuera un programa estaría hecho en C, y correría sobre
> un sistema UNIX"
>                                                    Anónimo.
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.4 (GNU/Linux)
>
> iD8DBQFBTw108hmHQ8ZCg0IRArUTAJ4gOL+rNdxfHUVNpaMP4eR5enqHggCgwghz
> wM4yIyqrIB8kcNn8tmC4bKI=
> =P8Ex
> -----END PGP SIGNATURE-----
>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro
> De: http://www.snort.org/docs/FAQ.txt
>
> Saque esto:
>
> ----------------
> 3.5 How do I set EXTERNAL_NET?
>
> Many people set EXTERNAL_NET to ``any''.
>
>     var EXTERNAL_NET any
>
> By setting it to ``any'' Snort will alert you on any traffic matching a
> rule coming into or leaving your network.
>
> To cut down on the work that Snort has to do, many people set it to ``not
> HOME_NET''.
>
>     var EXTERNAL_NET !$HOME_NET
>
> This tells Snort to define EXTERNAL_NET as everything except HOME_NET. For
> most
> people this is the best thing to set it to.
> ----------------
>
> Los puntos 3.2 en adelante también están buenos.
>
>                     Saludos. Pablo.
>
> PD: te lo mando con copia a tu correo pq creo que no están llegando
> mis correos a la lista.... he de tener algo mal configurado... con tiempo
> lo veré : ·)  ahora no tengo !!!!!!
>
> ----- Original Message -----
> From: "Sebastián D. Criado" <scriado@ciudad.com.ar>
> To: <lugro@lugro.org.ar>
> Sent: Monday, September 20, 2004 2:03 PM
> Subject: [LUG.ro] snort+mysql+php+acid sobre Debian Woody no loguea
>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hola, últimamente he estado probando una configuración de
> Snort+mysql+php+acid y se me han presentado algunos problemas.
>
> Les cuento las versiones que estoy usando:
> Snort 1.8.4-beta1 (Build 91)
> mysql 3.23.49
> php4
> acid 0.9.6b20
>
> Todo sobre Debian Woody.
>
> El problema es el siguiente a partir de la configuración snort.conf que
> se encuentra en el directorio /etc/snort.
>
> Si defino la variable HOME_NET como any funciona todo ok. el Snort
> loguea así como guarda en la base de datos mysql que puedo consultar
> perfectamente con el acid.
> Tengo definida la variable EXTERNAL_NET con la interfase externa.
>
> Ahora, el problema es que de esta forma se producen muchas falsas
> alarmas, dado que cualquier paquete que se mande afuera y que se
> obtengan respuestas es considerado un ataque.
>
> Si le configuro la ip de la red interna y mascara, supongamos
> 192.168.1.0/24, no loguea nada.
>
> He probado compilando el snort, pero el problema persiste, por lo que
> descarto
> un problema en la interoperabilidad entre mysql y snort.
>
> Se entiende el problemilla?
>
> Quería saber si alguien ha tenido que lidiar con el snort+php+mysql+acid
>
> Ya he probado usar el snort común, sin mysql, y hace exactamente lo
> mismo.
>
> Me he leido el libro de Bruce Perens sobre el tema:
> http://www.informit.com/title/0131407333
>
> y un how-to bastante explicativo:
> http://linuca.org/body.phtml?nIdNoticia=13
>
> Así como la documentación propia del snort.
>
> Saludos.-
> - --
> - --
> Sebastián D. Criado - scriado{en}ciudad.com.ar
> L.U.G.R.o - http://www.lugro.org.ar
> GNU/Linux Registered User # 146768
> - -------------------------------------------------------------------
> "Si el Universo fuera un programa estaría hecho en C, y correría sobre
> un sistema UNIX"
>                                                    Anónimo.
>
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.4 (GNU/Linux)
>
> iD8DBQFBTw108hmHQ8ZCg0IRArUTAJ4gOL+rNdxfHUVNpaMP4eR5enqHggCgwghz
> wM4yIyqrIB8kcNn8tmC4bKI=
> =P8Ex
> -----END PGP SIGNATURE-----
>
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro

- -- 
- --
Sebastián D. Criado - scriado{en}ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estaría hecho en C, y correría sobre
un sistema UNIX"
                                                   Anónimo.

			
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFBT0yz8hmHQ8ZCg0IRAu3wAJ9Z7OeKSg4YHlwahwajJ5CU8UocBwCdGpmP
wYVORkPm74GxpZIzrl1wDNE=
=XOG+
-----END PGP SIGNATURE-----