Добрый день, уважаемые!
Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
Заранее спасибо!
>Добрый день, уважаемые!
>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
>
>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - источник опасности. Именно на их взаимодействии и строятся правила анализа.
>>Добрый день, уважаемые!
>>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?
>>
>>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
>
>Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET -
>источник опасности. Именно на их взаимодействии и строятся правила анализа.мне нужно защитить только себя ) Хотя это тоже сеть - /32 )
ну ладно. а если я даже защищаю HOME_NET, из этой сети не может быть угроз что ли??
вот это мне и непонятно собственно...
>[оверквотинг удален]
>>>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли?
>>
>>Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET -
>>источник опасности. Именно на их взаимодействии и строятся правила анализа.
>
>мне нужно защитить только себя ) Хотя это тоже сеть - /32
>)
>ну ладно. а если я даже защищаю HOME_NET, из этой сети не
>может быть угроз что ли??
>вот это мне и непонятно собственно...первое слово в ответе, важное слово
Теперь на пальцах. Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности. Уязвимый это HOME_NET (для удобства анализа разбитое на подмножества) и источник опасности - EXTERNAL_NET. Это просто и логично. Какие именно сети и хосты будут выполнять эти роли, снорту по-барабану, он программа оперирующая базовыми правилами. Тебе для снорта нужно лишь указать, кто у тебя уязвимый, а кто опасный. Если эти понятия смешанные, поднимай 2ю копию снорта с другим конфигом. И 3ю и 4ю и тд. если того требует задача.
>Если эти понятия смешанные, поднимай 2ю
>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>если того требует задача.Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия с какой стороны ждать атак.......
>>Если эти понятия смешанные, поднимай 2ю
>>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>>если того требует задача.
>
>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия
>с какой стороны ждать атак.......ты за это время документацию видимо и не открывал. нет для снорта отличий
>>>Если эти понятия смешанные, поднимай 2ю
>>>копию снорта с другим конфигом. И 3ю и 4ю и тд.
>>>если того требует задача.
>>
>>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия
>>с какой стороны ждать атак.......
>
>ты за это время документацию видимо и не открывал. нет для снорта
>отличийтааак.
>Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности......и
>нет для снорта отличийкак-то не состыковывается. тогда кто-то из нас друг друга не понял.
>ты за это время документацию видимо и не открывал.
открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. поэтому и спросил.
задам вопрос по другому:
как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и EXTERNAL_NET ?
>[оверквотинг удален]
>как-то не состыковывается. тогда кто-то из нас друг друга не понял.
>
>>ты за это время документацию видимо и не открывал.
>
>открывал. читал. я даже в книге по снорт нормального объяснения не нашёл.
>поэтому и спросил.
>
>задам вопрос по другому:
>как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и
>EXTERNAL_NET ?я плохой объясняющий и сдаюсь с последней попыткой:
HOME_NET и EXTERNAL_NET придуманы _для_ системного администратора.
Снорт не навязывает, что HOME_NET это уязвимый, просто принято предполагать,что HOME_NET это обьект защиты или более пристального внимания. На примере, ну скажем backdoor.rules можно увидеть:
EXTERNAL_NET инициирует соединение (попытка или факт, не важно) с HOME_NET <- проверка или наличие уязвимости
HOME_NET инициирует/отвечает EXTERNAL_NET <- HOME_NET уже уязвлён
Ты, вправе менять местами HOME и EXTERNAL или вводить ещё какие-то ПЕРЕМЕННЫЕ, как тебе хочется, но снорту нет различий, он сенсор, а ты своими правилами лишь снимаешь нужные тебе показания.
Уважаемый Hetzer,если возможно нанять вас для обучения меня инсталляции и работе со Snort, свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!
Не могу найти разумных знатоков Snort`а!
>Уважаемый Hetzer,
>
>если возможно нанять вас для обучения меня инсталляции и работе со Snort,
>свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!
>
>Не могу найти разумных знатоков Snort`а!Кто-нибудь устанавливал SnortCenter? Есть опыт в этом деле?
> Уважаемый Hetzer,
> если возможно нанять вас для обучения меня инсталляции и работе со Snort,
> свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!
> Не могу найти разумных знатоков Snort`а!ужас, чувак посоветовал не весть что, а его ещё и на работу приглашают