Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 4126 views
  • Users 0 members are here
Options
Suggested

snort IDS on internal nic?

Darryl Smith
G'Day

It is certainly feasable. Bear in mind that you should run SNORT in a CHROOT environment in this situation. 

There are various CHROOT environments in /VAR... Copy one and place a SNORT distribution in it. If you have never dealt with CHROOT before you might have some fun, but it is feasable.

As far as I can tell, ASTARO is LINUX with configuration software that makes it into a firewall appliance. There is still bare LINUX underneith.

Darryl
Parents
  • 0
    Great. I've never played with CHROOT before, but I have a friend who is a Linux Admin. I'll bribe him with some beer and pizza and see if I can get it to work. Do you know of any good HOW-TOs that explain CHROOT?
  • 0 in reply to frizille
    Hi There...

    The basics of CHROOT are
       cd directory
       chroot .
    Where LINUX now thinks that the directory and it's sub directories IS the entire system. There are scripts showing how ASL sets up CHROOT in /etc/rc.d and also maybe in the chroot environment. 

    The idea is that if anyone does break in using snort all they can affect is the snort environment. There is no way back to the rest of the system. The rest of the system can go the orther way though.

    I tend to develop in a CHROOT in one window, and a non-chroot in another. There are generally no or few utilities in a chroot environment. Oh, and devices might not be available in CHROOT unless you create them :-). 

    Basically you are setting up a miniture LINUX distribution in directories...

    Hope this helps

    Darryl
  • 0 in reply to Darryl Smith
    Here a few additional information on how to setup a chroot envirioment.

    ldd snort

    dispays all the dynamic linked binaries, make sure you have them in the chroot.

    strings snort | grep '/'

    displays all strings in the binary, this 
    are normaly used programms, dev and other files.

    chroot /var/chroot-snort/ strace -f -o chroot.log  /usr/bin/strace -f -ostrace.log snort

    This starts snort in the change root with strace. In the strace.log you can see all errors and problem.

    I hope that helps, 

    Greeting form germany

    Gert
  • 0 in reply to Gert Hansen
    Thanks for the great replies. I'm pretty lost so far, so this will be a fun learning experience.

    As a side note, are there any plans for ASL to include a IDS system in the firewall? Traditionally, IDS type systems have sat on a network segment and passively logged packets. The trend I am seeing now is for IDS systems to become actively involved in the network and drop/block packets for certain exploits. It would be great if (example) the firewall could spot a IIS Unicode attack and drop it without letting it pass into the network while telling the firewall to drop packets from the source address along the way. Is this a possibility, or would the computational time add severe latency onto the incoming and outgoing packets?
Reply
  • 0 in reply to Gert Hansen
    Thanks for the great replies. I'm pretty lost so far, so this will be a fun learning experience.

    As a side note, are there any plans for ASL to include a IDS system in the firewall? Traditionally, IDS type systems have sat on a network segment and passively logged packets. The trend I am seeing now is for IDS systems to become actively involved in the network and drop/block packets for certain exploits. It would be great if (example) the firewall could spot a IIS Unicode attack and drop it without letting it pass into the network while telling the firewall to drop packets from the source address along the way. Is this a possibility, or would the computational time add severe latency onto the incoming and outgoing packets?
Children
Cookie Information Banner