Messages posted by: 886

Hiện công ty mình có 2 chi nhánh hà nội và thành phố hồ chí minh, mọi người cho mình hỏi là có thể tạo được 1 máy file server cho 2 chi nhánh này dùng chung được hay không?

alert ip any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy"; threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160;rev:2 smilie

Cho em hỏi, chỗ count 300, seconds 60 có phải là nếu trong vòng 60 giây có hơn 300 kết nối thì đưa ra cảnh báo đúng không ạ?

Rule này là rule có sẵn của snort,em chỉ bik là rule cảnh báo flooding attack.
Em không hiểu ở chỗ là sao port đích là 5060 mà khi cảnh báo nó lại báo là 80
Có liên quan gì tới NAT ở đây không?

Up cho mọi người dùng giúp đỡ

Nhờ mấy anh phân tích giùm em cái rule snort sau:
Code:

alert ip any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy";
threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160;rev:2;)

Em chỉ hiểu sơ sơ nó là rule cảnh báo flood attack, địa chỉ nguốn any port nguồn any. Còn địa chỉ đích là any port đích là 5060, em thắc mắc chỗ này, vì thường tấn công vào port 80 mà, với khi em tấn công flooding để test rule trên thì nó cũng báo là port đích 80 chứ không phải là port 5060
Nhờ mấy anh giải thích giúp nội dung của rule trên giùm em với. Cảm ơn mọi người

Cảm ơn anh Ky0, em cài đặt từ source, nhưng giờ cài bằng gói cài đặt thì được rồi

Các anh chị ở đây ai đã từng cài fragroute giúp em lỗi này với
Khi em đã cài hoàn tất và khởi động fragroute thì nó báo lỗi sau
Code:

./fragroute: error while loading shared libraries: libevent-1.3e.so.1: cannot open shared object
file: no such file or folder

Em đã cài libevent-1.3e rồi. Mong mọi người giúp đỡ.

Code:

snort-snortsam-2.6.1.5.tar.gz: gzip compressed data, was "snort-snortsam-2.6.1.5.tar", from Unix, last modified: Tue Apr 13 17:46:52 2010

Nội dụng sau ghi dùng lệnh file snort-snortsam-2.6.1.5.tar.gz đo anh

Em tải snortsam từ link:
Code:

http://www.snortsam.net/files/snort-plugin/snort-snortsam-2.6.1.5.tar.gz

tải về thì không sao nhưng khi giải nén nó lại báo lỗi
Code:

tar: skipping to next header
tar: exiting with failure status due to previous errors

Ai biết giúp em khắc phục lỗi này với. Thank mọi người nhiều nha.

Mình vừa check link của bạn có thấy down được đâu
Code:

http://sourceforge.net/projects/packetfence/files/PacketFence/2.2.0/packetfence-2.2.0.tar.gz

Hôm bữa mình cũng có gặp lỗi như bạn khi mình cài snort, cuối cùng mình phát hiện gói mà mình down về cần phải có <oinkcode> nữa mới down thành công chứ down trơn vậy thì tar ra gặp lỗi như bạn liền, oinkcode thường thì mình phải đăng kí để tải về thì mới có. Mà hok biết bạn có bị vậy hôk
Hay bạn thử link sau để down lại xem sao
Code:

http://www.packetfence.org/downloads/PacketFence/src/packetfence-2.2.0.tar.gz

em đã giải quyết được với rules:

iptables -t nat -A PREROUTING -t tcp -d 192.168.1.101 --dport 80 -i $EXTIF -j DNAT --to-destination 192.168.10.10

Cũng mô hình như trên, em muốn publish web ra ngoài internet thì cần viết rule iptables như thế nào ạ? Cụ thể khi máy 192.168.1.102 gõ http://192.168.1.101 thì sẽ hiện web của 192.168.10.10.

Em dùng rule sau mà không đươc:

iptables -t nat -A PREROUTING -i $EXTIF -j DNAT --to 192.168.10.10

$EXTIF là interface của firewall nối với 192.168.1.102
Vậy rules đúng trong trường hợp này là như thế nào hả mấy anh?

Cảm ơn anh!
ANh có thể giải thích giúp em rule chống scan port ở trên được không, và dùng nó như thế nào. Cái tài liệu anh đưa em có đọc qua.Nhưng giờ em sợ không có thởi gian triển khai.

Mô hình em gồm 3 máy như hình vẽ:

Máy LAN em dùng Nmap scan port của máy Web server, em muốn dùng iptables ở máy Firewall để chống scan port mà hôk chống được, đây là file script của em:
Code:

#!/bin/bash
INTIF="eth0"
INTIP="192.168.1.1"
INTNET="192.168.1.0/24"
LOIF="lo"
LOIP="127.0.0.1"
EXTIF="eth1"
EXTIP="172.16.1.1"
EXTINET="172.16.1.0/24"
TCP_PORTS="80"
HI_PORTS="1024:65535"
IPT="/sbin/iptables"
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
$IPT -t mangle -X
$IPT -t nat -X
$IPT -X
$IPT -P INTPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i $INTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $INTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp -o $INTIF -i $EXTIF -d $INTNET -s $EXTNET --dport $TCP_PORTS -j ACCEPT
$IPT -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[color=orange]$IPS -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT[/color]

đoạn code màu cam là code chống scan port của mấy anh đã từng pót trên diễn đàn, thực sự em cũng không hiểu đoạn code này làm gì và đặt nó trong trường hợp nào mới chống được scan port, mong mọi người giúp với

mình cung đang làm về cái này, mình đnag tìm cách tấn công để vảo vệ mà chưa ra, hic ai giúp với
Y!H: van_gol886

Em đang làm đồ án về firewall Iptables và IDS Snort. Em bố trí mô hình như sau:

Em muốn firewall (đã cài Snort) của hệ thống mạng bảo vệ hệ thống mạng và Web, FTP Server bên trong thông qua Iptables và Snort. Nhờ các anh góp ý giúp em về các kiểu tấn công để test khả năng bảo vệ của hệ thống. Hệ thống như thế thì Iptables sẽ cần các rule như thế nào. Hiện tại em chưa có định hướng rõ ràng, nhờ các anh giúp đỡ.

Thanks anh nhiều, lúc đầu em cũng chạy như anh nói mà không phải root nên báo lỗi, giờ đọc kỹ mới biết, thanks anh nhiều

Sau nhiều lần fix lỗi, mà không có tiến triển gì, nên em mới cài lại từ A đến Z luôn, theo hướng dẫn cùa bài viết sau: http://it.thelibrarie.com/weblog/2010/06/installing-snort-on-ubuntu-10-04/

Em chạy lệnh snort -c /etc/snort/snort.conf thì mắc lỗi:

ERROR: Failed to lookup for interface: no suitable device found. Please specify one with -i switch

Các anh giúp em sửa lỗi này với.

Em đã thử lại nhiều lần nhưng vẫn gặp lỗi nhưtheess, đây là cái nội dung line 165 của lỗi e đã nói ở trên, em gạch đỏ cái dòng 165

khi em cài: pear install Mail thì gặp lỗi:
PHP Fatal eor: Call to undefined method PEAR::raiseErro() in /usr/share/php/PEAR/REST.php in line 165

ở line 165 thì chỉ là nội dung trả về 1 message khi có error

mấy anh giúp em lỗi này với, khi em khởi động snort bằng lệnh: snort -c /etc/snort/snort.conf thì báo lỗi:
"Failed to initialize dynamic preprocessor: SF_SSH version 1.1.2 (-1)
Fatal Error, Quitting..."
Còn khi khởi động bằng lệnh: /etc/init.d/snort restart thì ok

tranhuuphuoc wrote:

886 wrote:

ủa sao không có ai có ý kiến gì hết vậy????

Trong bài viết ở trên tôi có ghi rõ : Bro đọc tài liệu nào để triển khai snort vậy nhĩ ?

Trên phương diện 1 forum cộng đồng để trao đổi, thảo luận các vấn đề mà mình thường gặp hoặc chưa từng gặp qua vấn đề đó thì không nên có dùng từ màu đỏ vì nó không cần thiết. Việc cài đặt snort nói chung nó quá dễ dàng vì cách thức cài đặt snort, snort_inline trong HVA forum có rất đầy đủ và nhiều nguồn trên internet.Và theo tôi nghĩ có mấy cái ứng dụng snort, snort_inline , OpenLDAP, Samba, Nginx, FreeRadius....thì không lẽ trên HVA hỗng có anh em nào biết để trả lời cho bro !?

Thân

Em không muốn làm loãng chủ đề, nhưng e đọc kỹ nội quy của forum nên không dùng từ viết tắt cũng như màu đỏ?
Em chỉ mong được giúp đỡ nên hơi nóng lòng,hy vọng các anh giúp đỡ,chứ không có ý gì khác?

ủa sao không có ai có ý kiến gì hết vậy????

Link a gửi e đã đọc qua, đó là cách cài đặt bằng dòng lệnh, khi cài cũng mắc khá nhiều lồi và e xử lí tới đây thì bí

CÒn dùng sudo /etc/init.d/snort start thì vẫn bị lỗi như lúc đầu Can't open /etc/rc.d/init.d/functions

Em đang cài snort theo 1 số tài liệu của mấy anh đi trước cho cũng khác đầy đủ, lỗi trên là khởi động snort từ scrip, chứ không phải bằng dòng lệnh như link a đưa.

Em cài đặt Snort2.9.0 đã thành công,sau đó chỉnh file cấu hình để chạy Snort nhưng gặp lỗi, mong các anh giúp em...
Em chạy lệnh: "chkconfig snortd on" sau đó là lệnh "service snortd start" và nó báo lỗi như thế này:

em tìm thì hình như hok có thư mục rc.d trong /etc mà chỉ có rc0.d rc1.d ..... mong các anh sửa giúp

Mấy anh giúp e lỗi này với, em giải nén tập rules của snort mà nó báo lỗi j đó, mặc dù e giải nén mấy file .tar.gz khác vẫn đc

Đã giải quyết được, cảm ơn moi người đã theo dõi và giúp đỡ nhìu.
Giời tiếp tục tới phần Snort.... smilie

Mô hình của em gồm 3 máy như hình, em muốn nhờ firewall NAT để máy trong LAN có thể truy cập web từ Web Server. Ngoài ra tất cả các dịch vụ khác đều DROP.
Mô hình này dự định em sẽ cài thêm snort vào firewall nữa.

Nội dung file cấu hình như em đã post ở trên

Em đã xử lý được chỗ restore, thanks anh đã giúp em từ đầu topic tới giờ.
Anh coi giúp file cấu hình em có đúng không sao em truy cập web server từ máy A đến máy C mà không forward được, file cấu hình ở trên đó anh, dưới đây là hình nội dung iptables-save của firewall em.

Anh đoán đúng, em ghi nhầm EXT thành ETX nên lỗi. Thanks anh nhiều.
Lúc trước em cấu hình mấy cái card mạng chạy ok, mà sau khi chạy file cấu hình .sh thì nó báo lỗi chỗ iptables-store, hình dưới

Mô hình của e 3 máy, A B C, máy B 2 card làm firewall, em muốn cấu hình máy C truy cập web ở máy A, code của e như sau:

#!/bin/bash
INTIF="eth1"
INTIP="192.168.1.1"
INTNET="192.168.1.0/24"
LOIF="lo"
LOIP="127.0.0.1"
EXTIF="eth0"
EXTIP="172.16.1.1"
EXTINET="172.16.1.0/24"
TCP_PORTS="80"
HI_PORTS="1024:65535"
IPT="/sbin/iptables"

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
$IPT -t mangle -X
$IPT -t nat -X
$IPT -X
$IPT -P INTPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i $INTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -o $EXTIF -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -p tcp -i $INTIF -o $EXTIF -s $INTNET -d $EXTNET --dport $TCP_PORTS -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

Anh coi thử đúng hôk, mà khi e chạy nó vẫn hem forward được.