Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 

Ver temas sin respuesta | Ver temas activos



Foros Linux » Administración del sistema » Seguridad


Nuevo tema Responder al tema
 Página 1 de 1
  [ 1 mensaje ] 
Patrocinadores

Autor
Buscar:
Mensaje
mike114x

Desconectado
Forista Medio
Forista Medio

Registrado: Jue Dic 18, 2003 12:00 am
Mensajes: 356
Ubicación: Venezuela-Caracas

Nota Publicado: Vie Jun 24, 2005 1:17 pm 
Arriba  
Desde hace semanas estaba buscando informacion de snort, lei de su pagina y de unos pocos tutoriales en espanol que consegui por internet, snort puede trabajar en tres modos, en modo sniffer no le vi mucha utilidad ni en packet logger ya que ver todas esas conexiones por consola me parece un poco complicado y tedioso y mas si esta en una gran red, o es una maquina que presta muchos servicios a muchos usuarios; pienso que si se quiere sniffear se puede usar ethereal, si alguien le ve mas utilidad a este modo de snort que me diga a ver si le saco provecho.

Se q con snort -vde o -l /var/log/snort veo y guardo las conexiones.


Pero la parte que veo mas interesante es la de poner a trabar snort con mysql y acid. Pero realmente no se consigue casi informacion de snort en espanol y ni en ingles salvo la de la pagina de snort.

La informacion de instalacion de snort, mysql, apache, acid que se consigue en la pagina de snort siempre la explican como si uno la fuese a instalar desde los tarball, pero para muchas distribuciones estan los rpm de mysql, snort, apache, php, y para que enrollarse la vida compilando esos programas.

Finalmente pude instalar todo , el acid lo instale descomprimiendo el .tar.gz y agregando para de librerias q pedia.


Pero tengo la siguiente duda, mi idea es q con snort pueda ver si algun usuario trato de ejecutar algun codigo maligno en la maquina, o trato de meter algun exploit, aparte de ver quienes scanean los puertos, si hubo algun intento de DoS, etc y lo que sucede es que con la pagina de acid no logro entender bien que es lo q muestra cada opcion, lo q mas veo es los puertos mas usados, las direcciones mas usadas, no se por q no me registra ningun trafico UDP, sino solo tcp, icmp. Como puedo ver de donde trataron de ejecutar algun exploit, o si se puede ver si alguien esta inventando nombres para entrar por ssh, telnet, o intentos de hackeo al servidor web.

Confused

Ademas como puedo interpretar cosas como esta:

url[snort] BAD-TRAFFIC loopback traffic bad-unknown 32 (9%)

[snort] (portscan) Open Port


#1-(1-71) url[snort] BAD-TRAFFIC loopback traffic
 Perfil  
Mostrar mensajes previos:  Ordenar por  
 Página 1 de 1
  [ 1 mensaje ] 
Nuevo tema Responder al tema

Saltar a:  


¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC - 6 horas
Traducción al español por Huan Manwë
phpBB SEO