Ansicht IDS-LOG

Tripwire, Guardian, Snort, Squidclamav
Post Reply
variousos
Posts: 99
Joined: January 21st, 2015, 7:43 am

Ansicht IDS-LOG

Post by variousos » April 18th, 2015, 6:11 pm

Hallo und guten Abend,

was muss passieren oder was muss ich tun, dass in der LOG-Ansicht von "IDS-Logdateien" auch nur irgend etwas angezeigt wird?

DANKE und LG

variousos

5p9
Mentor
Mentor
Posts: 1717
Joined: May 1st, 2011, 3:27 pm

Re: Ansicht IDS-LOG

Post by 5p9 » April 27th, 2015, 4:51 am

Hi,

wenn du das über das Terminal auf deiner Fire mal ausführst, was siehst du da?

Code: Select all

ps -ef | grep snort


Hast du ein Ruleset gedownloaded. Hast du davon eine Regel mit einem Hacken aktiviert und gespeichert?
Hinweis: Bitte nicht alle Regeln gleich verwenden, die brauchst du nicht alle!!! Ich verwende z.B. nur Viren/Trojaner und BotCC Regeln. Mehr brauch ich i.d.R. nicht.

VG, 5p9

5589DB
Posts: 90
Joined: August 4th, 2014, 7:56 pm

Re: Ansicht IDS-LOG

Post by 5589DB » December 6th, 2015, 12:49 pm

Hallo zusammen,

ich klinke mich mal hier ein, weil ich selber gerade kontrollieren möchte, ob denn IDS und guardian überhaupt funktionieren.

Wenn ich den Befehl abfreuere, dann kommt das bei raus:

[root@ipfire ~]# ps -ef | grep snort
root 6054 1 0 11:02 ? 00:00:34 /usr/sbin/snort -c /etc/snort/snort.conf -i green0 -D -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run
root 6082 1 0 11:02 ? 00:00:30 /usr/sbin/snort -c /etc/snort/snort.conf -i red0 -D -l /var/log/snort --create-pidfile --nolock-pidfile --pid-path /var/run
root 15065 14996 0 13:30 pts/0 00:00:00 grep snort

Kann damit leider nicht viel anfangen. Deswegen würde ich mich über Hilfe sehr freuen. Auch generell, wie ich IDS/guardian auf Funktionalität testen kann.

Danke und einen schönen 2. Advent euch!

User avatar
FischerM
Community Developer
Community Developer
Posts: 648
Joined: November 2nd, 2011, 12:28 pm

Re: Ansicht IDS-LOG

Post by FischerM » December 6th, 2015, 8:09 pm

Ahmt,

ich teste hier meistens mit http://www.whatsmyip.org/port-scanner/server/.

Der Test bleibt bei "MYSQL1433" stehen - und scannt forever.

Nach kurzer Zeit solltest du im IDS-Log - bei entsprechend aktiviertem Regelwerk - sowas Ähnliches finden:
...
Datum: 12/06 21:02:19 Name: ET POLICY Suspicious inbound to MSSQL port 1433
Priorität: 2 Typ: Potentially Bad Traffic
IP-Info: 208.64.38.55:50825 -> [ROTE_IP_ADRESSE]:1433
Referenzen: http://doc.emergingthreats.net/2010935
SID: 2010935
...

Die IP-Adresse 208.64.38.55 sollte außerdem im Guardian-Log und in der GUI als geblockt angezeigt werden. Der nächste Aufruf der URL schlägt fehl.

HTH
Matthias

5589DB
Posts: 90
Joined: August 4th, 2014, 7:56 pm

Re: Ansicht IDS-LOG

Post by 5589DB » December 7th, 2015, 7:30 pm

Hi FischerM,

danke erst einmal für deine Antwort. Der Port Scan interessiert IPFire gar nicht. Aber in der blacklist rule habe ich mal von intern eine verbotene Seite aufgemacht. Die wurde dann auch im IDS und auch dem guardian geloggt. Von daher gehe ich mal davon aus, dass das System tut...

variousos
Posts: 99
Joined: January 21st, 2015, 7:43 am

Re: Ansicht IDS-LOG

Post by variousos » March 11th, 2016, 3:50 pm

Hallo @5P9,

sorry, dass ich mich erst jetzt melden kann!

Wenn ich den von Dir aufgezeigten Befehl eingebe erscheint:

root 19878 1 0 16:52 ? 00:00:01 /usr/sbin/snort -c /etc/snort/snort.conf -i green0 -D -1 /var/log/snort --create-pidfile --nolock-pidtfile --pid-pat /var/run


Recht wenig:-(

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest