https://m.opennet.dev/openforum/vsluhforumID10/4274.html Добрый день, уважаемые!<br>Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf?<br>Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? <br>Заранее спасибо!<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#10 Mon, 30 Jul 2012 15:50:01 GMT &gt; Уважаемый Hetzer, <br>&gt; если возможно нанять вас для обучения меня инсталляции и работе со Snort, <br>&gt; свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!<br>&gt; Не могу найти разумных знатоков Snort`а!<br><br>ужас, чувак посоветовал не весть что, а его ещё и на работу приглашают<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#9 Tue, 04 Aug 2009 09:18:12 GMT &gt;Уважаемый Hetzer, <br>&gt;<br>&gt;если возможно нанять вас для обучения меня инсталляции и работе со Snort, <br>&gt;свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com! <br>&gt;<br>&gt;Не могу найти разумных знатоков Snort`а! <br><br>Кто-нибудь устанавливал SnortCenter? Есть опыт в этом деле?<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#8 Sun, 05 Jul 2009 09:40:14 GMT Уважаемый Hetzer,<br><br>если возможно нанять вас для обучения меня инсталляции и работе со Snort, свяжитесь, пожалуйста, со мной по электропочте durygus@gmail.com!<br><br>Не могу найти разумных знатоков Snort`а!<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#7 Fri, 12 Jun 2009 18:20:13 GMT &gt;[оверквотинг удален]<br>&gt;как-то не состыковывается. тогда кто-то из нас друг друга не понял. <br>&gt;<br>&gt;&gt;ты за это время документацию видимо и не открывал.<br>&gt;<br>&gt;открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. <br>&gt;поэтому и спросил. <br>&gt;<br>&gt;задам вопрос по другому: <br>&gt;как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и <br>&gt;EXTERNAL_NET ? <br><br>я плохой объясняющий и сдаюсь с последней попыткой:<br>HOME_NET и EXTERNAL_NET придуманы _для_ системного администратора.<br>Снорт не навязывает, что HOME_NET это уязвимый, просто принято предполагать,что HOME_NET это обьект защиты или более пристального внимания. На примере, ну скажем backdoor.rules можно увидеть:<br>EXTERNAL_NET инициирует соединение (попытка или факт, не важно) с HOME_NET &lt;- проверка или наличие уязвимости<br>HOME_NET инициирует/отвечает EXTERNAL_NET &lt;- HOME_NET уже уязвлён <br>Ты, вправе менять местами HOME и EXTERNAL или вводить ещё какие-то ПЕРЕМЕННЫЕ, как тебе хочется, но снорту нет различий, о https://m.opennet.dev/openforum/vsluhforumID10/4274.html#6 Fri, 12 Jun 2009 17:01:25 GMT &gt;&gt;&gt;Если эти понятия смешанные, поднимай 2ю <br>&gt;&gt;&gt;копию снорта с другим конфигом. И 3ю и 4ю и тд. <br>&gt;&gt;&gt;если того требует задача. <br>&gt;&gt;<br>&gt;&gt;Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия <br>&gt;&gt;с какой стороны ждать атак....... <br>&gt;<br>&gt;ты за это время документацию видимо и не открывал. нет для снорта <br>&gt;отличий <br><br>тааак.<br>&gt;Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности......<br><br>и<br>&gt;нет для снорта отличий <br><br>как-то не состыковывается. тогда кто-то из нас друг друга не понял.<br><br>&gt;ты за это время документацию видимо и не открывал.<br><br>открывал. читал. я даже в книге по снорт нормального объяснения не нашёл. поэтому и спросил.<br><br>задам вопрос по другому:<br>как меняется поведение программы snort, когда системный администратор изменяет директивы HOME_NET и EXTERNAL_NET ?<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#5 Wed, 10 Jun 2009 08:19:41 GMT &gt;&gt;Если эти понятия смешанные, поднимай 2ю <br>&gt;&gt;копию снорта с другим конфигом. И 3ю и 4ю и тд. <br>&gt;&gt;если того требует задача. <br>&gt;<br>&gt;Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия <br>&gt;с какой стороны ждать атак....... <br><br>ты за это время документацию видимо и не открывал. нет для снорта отличий<br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#4 Mon, 08 Jun 2009 13:48:20 GMT &gt;Если эти понятия смешанные, поднимай 2ю <br>&gt;копию снорта с другим конфигом. И 3ю и 4ю и тд. <br>&gt;если того требует задача. <br><br>Спасибо. Тогда понятно. Я просто не ожидал, что для снорта есть отличия с какой стороны ждать атак.......<br><br> https://m.opennet.dev/openforum/vsluhforumID10/4274.html#3 Sun, 07 Jun 2009 19:55:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? <br>&gt;&gt;<br>&gt;&gt;Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - <br>&gt;&gt;источник опасности. Именно на их взаимодействии и строятся правила анализа. <br>&gt;<br>&gt;мне нужно защитить только себя ) Хотя это тоже сеть - /32 <br>&gt;) <br>&gt;ну ладно. а если я даже защищаю HOME_NET, из этой сети не <br>&gt;может быть угроз что ли?? <br>&gt;вот это мне и непонятно собственно... <br><br>первое слово в ответе, важное слово<br>Теперь на пальцах. Правила строятся на взаимодействии 2-х участников - уязвимый и источник_опасности. Уязвимый это HOME_NET (для удобства анализа разбитое на подмножества) и источник опасности - EXTERNAL_NET. Это просто и логично. Какие именно сети и хосты будут выполнять эти роли, снорту по-барабану, он программа оперирующая базовыми правилами. Тебе для снорта нужно лишь указать, кто у тебя уязвимый, а кто опасный. Если эти понятия смешанные, поднимай 2ю копию снорта с другим конфигом. И 3ю и 4ю и тд. если того требует зада https://m.opennet.dev/openforum/vsluhforumID10/4274.html#2 Sun, 07 Jun 2009 19:11:51 GMT &gt;&gt;Добрый день, уважаемые! <br>&gt;&gt;Объясните пожалуйста для чего указываются var HOME_NET и var EXTERNAL_NET в snort.conf? <br>&gt;&gt;<br>&gt;&gt;Не ясно, сеть "EXTERNAL_NET" будет лучше проверяться что ли? <br>&gt;<br>&gt;Если HOME_NET (и его подмножества) - это защищаемые сети, то EXTERNAL_NET - <br>&gt;источник опасности. Именно на их взаимодействии и строятся правила анализа. <br><br>мне нужно защитить только себя ) Хотя это тоже сеть - /32 )<br>ну ладно. а если я даже защищаю HOME_NET, из этой сети не может быть угроз что ли??<br>вот это мне и непонятно собственно...<br>