gdconsult
17.04.2017, aktualisiert am 18.04.2017
view1783
view3
0
Goto Top

Ubuntu 16.04LTS, Snort, Erkennung von nmap Scans

gelöstFrageLinuxLinux Netzwerk
Ich habe ein Ubuntu 16.04LTS mit Snort versehen:

sudo apt-get install snort

Danach habe ich in der snort.conf folgende Änderungen vorgenommen:

ipvar HOME_NET 192.168.1.102

# Set up the external network addresses. Leave as "any" in most situations 
ipvar EXTERNAL_NET !$HOME_NET
...
preprocessor sfportscan: proto  { all } scan_type { all } sense_level { high }
...
include $RULE_PATH/scan.rules

Wenn ich Snort nun mittels

snort -A full -i enp0s3 -u snort -g snort -c /etc/snort/snort.conf

starte kann ich nach Herzenslust den PC scannen, egal ob Xmas-Scan, Syn-Scan oder sonstwas, Snort schlägt nicht an...

Wo liegt das Problem - jemand eine Idee?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 335368

Url: https://administrator.de/forum/ubuntu-16-04lts-snort-erkennung-von-nmap-scans-335368.html

Ausgedruckt am: 05.01.2025 um 06:01 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
LordGurke
LordGurke 18.04.2017 um 09:20:30 Uhr
Goto Top
Von wo aus machst du denn die Scans - von außen oder von innen?
Denn - so verstehe ich die Regel in dem Script - die Snort-Filter werden nur aktiv, wenn die Daten von außerhalb des eigenen Netzes kommen.
gdconsult
gdconsult 18.04.2017 aktualisiert um 14:24:06 Uhr
Goto Top
ipvar HOME_NET 192.168.1.102

Eigenes netz ist nur diese IP und alles andere ist
ipvar EXTERNAL_NET !$HOME_NET
extern.

Oder verstehe ich die .conf-Einstellungen falsch?

Ich scanne von 192.168.1.105 als gleiches Netz. Soll aber immer anschalgen egal wer und was scannt.
ipvar EXTERNAL_NET any
ändert auch nichts...

Wenn ja, wie sollte die Conf-Datei aussehen um das zu erreichen was ich will?
gdconsult
gdconsult 18.04.2017 um 17:56:37 Uhr
Goto Top
Hab snort aus den quellen neu gebaut und nun klappt es...
gelöstFrageLinuxLinux Netzwerk
Mehr von gdconsultgdconsultWLAN Reichweite erhöhen mit neuer Antennegdconsult - 12 KommentaregdconsultSicherheitstest von Passwörtern für ganze DB-Tabellengdconsult - 3 KommentaregdconsultInternetverb. nur über VPNgdconsult - 13 Kommentare
Heiß diskutiert
Mofarocker33Repeater für Mobilfunknetz (D1)?Mofarocker33 - 30 KommentareEDVMan27Budget HA IT bei Hetzner mit Hyper-V-ReplicaEDVMan27 - 25 KommentareBiosCatVerdacht auf kompromittiertes BIOS und Malware auf HP-SystemBiosCat - 21 KommentareThor2605Mikrotik - Einstieg in IPv6Thor2605 - 20 KommentareStefanKittelWo geführt der DS-DNS-Eintrag für DNSSEC hin? DNS-Anbieter oder Registrar?StefanKittel - 19 KommentareJokurtDirekt in Ordner auf NAS scannenJokurt - 18 KommentareSarekHLWarum ist NVIDIA besser als Intel?SarekHL - 18 KommentareSpeed101Datenspeicherplatz erweitern RAID 1: Windows Server 2022Speed101 - 17 KommentareSvenTejBrother Scanner unter WIN11 24H2 nicht einrichtbarSvenTej - 17 Kommentarepengo1989Ubuntu Updatemanagementpengo1989 - 16 KommentareSarekHLWord-Serienbriefe aus Excel-Tabelle mit ÜberschriftSarekHL - 15 KommentareSurfer12PoE - Switch, FanlessSurfer12 - 14 Kommentare