The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"SNORT && var HOME_NET && var EXTERNAL_NET"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Разное / Linux)
Изначальное сообщение [ Отслеживать ]

"SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от dsafwafd on 07-Июн-09, 19:41 
Добрый день, уважаемые!
Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
Заранее спасибо!
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от Hetzer (ok) on 07-Июн-09, 22:35 
>Добрый день, уважаемые!
>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
>
>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?

Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - источник опасности. Именно на их взаимодействии и строятся правила анализа.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от fdss on 07-Июн-09, 23:11 
>>Добрый день, уважаемые!
>>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
>>
>>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
>
>Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET -
>источник опасности. Именно на их взаимодействии и строятся правила анализа.

мне нужно защитить только себя ) Хотя это тоже сеть - /32 )
ну ладно. а если я даже защищаю HOME_NET, из этой сети не может быть угроз что ли??
вот это мне и непонятно собственно...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от Hetzer (ok) on 07-Июн-09, 23:55 
>[оверквотинг удален]
>>>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
>>
>>Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET -
>>источник опасности. Именно на их взаимодействии и строятся правила анализа.
>
>мне нужно защитить только себя ) Хотя это тоже сеть - /32
>)
>ну ладно. а если я даже защищаю HOME_NET, из этой сети не
>может быть угроз что ли??
>вот это мне и непонятно собственно...

первое слово в ответе, важное слово
Теперь на пальцах.  Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности. Уязвимый это HOME_NET (для удобства анализа разбитое на подмножества) и источник опасности - EXTERNAL_NET. Это просто и логично. Какие именно сети и хосты будут выполнять эти роли, снорту по-барабану, он программа оперирующая базовыми правилами. Тебе для снорта нужно лишь указать, кто у тебя уязвимый, а кто опасный. Если эти понятия смешанные, поднимай 2ю копию снорта с другим конфигом. И 3ю и 4ю и тд. если того требует задача.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от fdss on 08-Июн-09, 17:48 
>Если эти понятия смешанные, поднимай 2ю
>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>если того требует задача.

Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия с какой стороны ждать атак.......

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от Hetzer (ok) on 10-Июн-09, 12:19 
>>Если эти понятия смешанные, поднимай 2ю
>>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>>если того требует задача.
>
>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия
>с какой стороны ждать атак.......

ты за это время документацию видимо и не открывал. нет для снорта отличий

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от fdss on 12-Июн-09, 21:01 
>>>Если эти понятия смешанные, поднимай 2ю
>>>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>>>если того требует задача.
>>
>>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия
>>с какой стороны ждать атак.......
>
>ты за это время документацию видимо и не открывал. нет для снорта
>отличий

тааак.
>Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности......

и
>нет для снорта отличий

как-то не состыковывается. тогда кто-то из нас друг друга не понял.

>ты за это время документацию видимо и не открывал.

открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. поэтому и спросил.

задам вопрос по другому:
как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и EXTERNAL_NET ?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от Hetzer (ok) on 12-Июн-09, 22:20 
>[оверквотинг удален]
>как-то не состыковывается. тогда кто-то из нас друг друга не понял.
>
>>ты за это время документацию видимо и не открывал.
>
>открывал. читал. я даже в книге по снорт нормального объяснения не нашёл.
>поэтому и спросил.
>
>задам вопрос по другому:
>как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и
>EXTERNAL_NET ?

я плохой объясняющий и сдаюсь с последней попыткой:
HOME_NET и EXTERNAL_NET  придуманы _для_ системного администратора.
Снорт не навязывает, что HOME_NET это уязвимый, просто принято предполагать,что HOME_NET это обьект защиты или более пристального внимания. На примере, ну скажем backdoor.rules можно увидеть:
EXTERNAL_NET инициирует соединение (попытка или факт, не важно) с HOME_NET <- проверка или наличие уязвимости
HOME_NET инициирует/отвечает EXTERNAL_NET <- HOME_NET уже уязвлён
Ты, вправе менять местами HOME и EXTERNAL или вводить ещё какие-то ПЕРЕМЕННЫЕ, как тебе хочется, но снорту нет различий, он сенсор, а ты своими правилами лишь снимаешь нужные тебе показания.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от durygus email(ok) on 05-Июл-09, 13:40 
Уважаемый Hetzer,

если возможно нанять вас для обучения меня инсталляции и работе со Snort, свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!

Не могу найти разумных знатоков Snort`а!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от Purgen (??) on 04-Авг-09, 13:18 
>Уважаемый Hetzer,
>
>если возможно нанять вас для обучения меня инсталляции и работе со Snort,
>свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!
>
>Не могу найти разумных знатоков Snort`а!

Кто-нибудь устанавливал SnortCenter? Есть опыт в этом деле?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "SNORT && var HOME_NET && var EXTERNAL_NET"  +/
Сообщение от anonymous (??) on 30-Июл-12, 19:50 
> Уважаемый Hetzer,
> если возможно нанять вас для обучения меня инсталляции и работе со Snort,
> свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!
> Не могу найти разумных знатоков Snort`а!

ужас, чувак посоветовал не весть что, а его ещё и на работу приглашают

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру