Bonsoir,
J'ai quelques problemes avec snort.
J'ai installé snort en faisant un apt-get install snort. Cela s'est tres
bien passé...
Je me suis vite rendu compte que malgré l'existence du script
/etc/init.d/snort snort ne démarre pas au boot, ni même après avoir fait
tourner le script, et ce contrairement au message apparu et qui prétend que
snort tourne (...pas de process snort qui tourne).
Lorsque je lance snort à la main, je me rends compte qu'il est inéfficace,
malgré les règles de bases plus celles que j'ai ajoutées. Bien entendu,
j'ai du changer l'interface définie sur eth0 en ppp0 mais rien n'y fait.
J'ai aussi essayé dans la définition de la variable HOME_NET de mettre mon
ip du moment, mais rien n'y fait...
Si je sais que cela ne marche pas c'est parce-que pour tester, je m'amuse à
télécharger une attaque vue au cours et que snort devrait détécter grâces
aux règles ajoutées (ça marche sur le campus) et ici, il ne voit rien...
Quelqu'un a-t-il déjà réussi à faire une installation de snort qui fonctionne ?
J'en profite pour demander si la variable HOME_NET doit être impérativement
définie avec la valeur de l'ip su r laquelle on est connecté à l'internet
(je crains moins des tentatives d'attaques depuis mon réseau interne).
Si oui, un problème se posera au mieux toutes les 36 heures lorsque mon
provider me déconectera et que ma linux relancera la connection et que
j'aurai une nouvelle ip (je n'ai jamais fait de script sophistiqué et je ne
suis pas capable à l'heure actuelle de faire un script qui va lire mon ip
sur ppp0 grâce au résultat de la commande ifconfig et de relancer snort
avec ces nouveaux parametres...)
Question "subsidiaire": Est il possible que snort scan toutes mes
interfaces réseaux (avec toutes leurs ip).
Si oui comment ? Faut il lancer un process snort par carte réseau ?
Merci de votre aide
STef
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
