gdconsult
17.04.2017, aktualisiert am 18.04.2017
view1763
view3
0
Goto Top

Ubuntu 16.04LTS, Snort, Erkennung von nmap Scans

gelöstFrageLinuxLinux Netzwerk
Ich habe ein Ubuntu 16.04LTS mit Snort versehen:

sudo apt-get install snort

Danach habe ich in der snort.conf folgende Änderungen vorgenommen:

ipvar HOME_NET 192.168.1.102

# Set up the external network addresses. Leave as "any" in most situations 
ipvar EXTERNAL_NET !$HOME_NET
...
preprocessor sfportscan: proto  { all } scan_type { all } sense_level { high }
...
include $RULE_PATH/scan.rules

Wenn ich Snort nun mittels

snort -A full -i enp0s3 -u snort -g snort -c /etc/snort/snort.conf

starte kann ich nach Herzenslust den PC scannen, egal ob Xmas-Scan, Syn-Scan oder sonstwas, Snort schlägt nicht an...

Wo liegt das Problem - jemand eine Idee?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 335368

Url: https://administrator.de/contentid/335368

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
LordGurke
LordGurke 18.04.2017 um 09:20:30 Uhr
Goto Top
Von wo aus machst du denn die Scans - von außen oder von innen?
Denn - so verstehe ich die Regel in dem Script - die Snort-Filter werden nur aktiv, wenn die Daten von außerhalb des eigenen Netzes kommen.
gdconsult
gdconsult 18.04.2017 aktualisiert um 14:24:06 Uhr
Goto Top
ipvar HOME_NET 192.168.1.102

Eigenes netz ist nur diese IP und alles andere ist
ipvar EXTERNAL_NET !$HOME_NET
extern.

Oder verstehe ich die .conf-Einstellungen falsch?

Ich scanne von 192.168.1.105 als gleiches Netz. Soll aber immer anschalgen egal wer und was scannt.
ipvar EXTERNAL_NET any
ändert auch nichts...

Wenn ja, wie sollte die Conf-Datei aussehen um das zu erreichen was ich will?
gdconsult
gdconsult 18.04.2017 um 17:56:37 Uhr
Goto Top
Hab snort aus den quellen neu gebaut und nun klappt es...
gelöstFrageLinuxLinux Netzwerk
Mehr von gdconsultgdconsultWLAN Reichweite erhöhen mit neuer Antennegdconsult - 12 KommentaregdconsultSicherheitstest von Passwörtern für ganze DB-Tabellengdconsult - 3 KommentaregdconsultInternetverb. nur über VPNgdconsult - 13 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare