+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Mikrotik Router OS / RouterBoard и Snort IDS/IPS

Mikrotik Router OS / RouterBoard и Snort IDS/IPS, RouterOS

stmx38

Guest

01.02.2012 14:41:00

Как отправлять трафик с Mikrotik на Snort

Отправьте весь трафик из цепочек input и forward в Snort:

#/ip firewall calea print
/ip firewall calea add action=sniff chain=forward sniff-target=192.168.0.2 sniff-target-port=37008
/ip firewall calea add action=sniff chain=input sniff-target=192.168.0.2 sniff-target-port=37008

Как захватить отправляемый трафик

Скачайте trafr:
wget http://www.mikrotik.com/download/trafr.tgz

Распакуйте trafr:
tar -zvxf trafr.tgz

На 64-битной системе Linux дополнительно установите пакет:
# CentOS 6.2 x64
yum install glibc.i686

# Ubuntu x64
sudo apt-get install libc6-i386

# ArchLinux x64
pacman -S lib32-glibc

Создайте в Linux правило iptables для приёма трафика с RouterBoard:
# iptables -L --line-numbers
iptables -I INPUT 13 -p udp --dport 37008 -j ACCEPT -m comment --comment "Принимаем сниффенный трафик с RouterBoard"

Проверьте, принимает ли trafr данные:
./trafr -s | tcpdump -r - -n

Проверьте, принимает ли Snort данные:
./trafr -s | snort -r -

Скопируйте trafr в нужную папку:
cp trafr /usr/local/bin/

Как запускать trafr и Snort при старте системы

Установите screen:
yum install screen

# подключитесь к trafr через screen:
screen -dmS mytrafr /usr/local/bin/trafr

# показать запущенные сессии screen
screen -list

# подключиться к сессии screen
screen -r mytrafr

# завершить сессию screen
Ctrl+D

Сейчас у меня не работает команда:
trafr -s | snort > -D > -r -
Я не знаю, как запустить Snort в режиме демона вместе с trafr. Кто-нибудь знает, как это сделать?

Связанные темы:
Streaming Server с Snort
Клонирование трафика для мониторинга Snort IDS?
Snort IDS и Mikrotik
Кто запускал trafr на OS X?
Тrafр бинарник для *bsd?
trafr не работает
Новый trafr
Использование Packet Sniffer с streaming-server
Зеркалирование всего трафика от одного пользователя на сервер
CALEA и удалённый лог-сервер
Соответствие CALEA?
Будет ли работать инструмент packet sniffer?
Packet Sniffing с Streaming
Port Mirroring?
Помощь с разбором протокола TZSP
Настройка беспроводного сниффера
IDS snort Wiki
Посты по CALEA
Независимый скрипт trafr
Другие ресурсы: MUM_CALEA.pdf

mkein

Guest

29.03.2012 22:53:00

Привет, у меня проблемы с запуском trafr, есть ли какая-то альтернатива кроме Perl-скрипта, опубликованного в другом посте? Вот что показывает strace во время запуска, похоже, проблема возникает в самом начале. Система — Arch Linux 3.2.12-1-ARCH #1 SMP PREEMPT Mon Mar 19 17:50:01 CET 2012 x86_64 Intel® Core™ i5 CPU M 460 @ 2.53GHz GenuineIntel GNU/Linux. Вывод strace:

[root@barbaroja ~]# strace ./trafr
execve(“./trafr”, [“./trafr”], [/* 26 vars */]) = -1 ENOENT (Нет такого файла или каталога)
dup(2) = 3
fcntl(3, F_GETFL) = 0x8002 (флаги O_RDWR|O_LARGEFILE)
fstat(3, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), …}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f2ae8437000
lseek(3, 0, SEEK_CUR) = -1 ESPIPE (Неправильный запрос смещения)
write(3, “strace: exec: Нет такого файла или каталога”, 40) = 40
close(3) = 0
munmap(0x7f2ae8437000, 4096) = 0
exit_group(1)

Спасибо!

TangaRUS Guest	#3 0 30.03.2012 11:47:00 На x64 Ubuntu: sudo apt-get install libc6-i386

stmx38 Guest	#4 0 31.03.2012 17:42:00 TangaRUS Спасибо. Добавил в первый пост. Есть идеи, как настроить автоматический запуск trafr со snort при старте системы?

mkein Guest	#5 0 02.04.2012 18:55:00 В Arch Linux команда для установки lib32-glibc через pacman: pacman -S lib32-glibc

estenole

Guest

03.04.2012 18:18:00

Всем привет, боюсь, что запустить snort как демон не выйдет. В какой-то момент после инициализации списков атак и прочих вещей запускается другой поток, и он не получает никаких данных из unix cmd pipe.-( После нескольких тестов с ossim и snort планирую использовать отдельную точку доступа с 9 портами и правилами зеркалирования портов, но не смог найти ни нормального бинарника, ни полезного приложения для tzsp. Javi

aarango Guest	#7 0 30.03.2017 11:54:00 Привет, я вроде правильно настроил IDS/IPS вот по этому https://sourceforge.net/projects/mt-fw-attack/ Но не могу проверить, работает ли оно. Как это можно проверить? Есть какие-то тесты? Спасибо.

stmx38

Guest

10.04.2012 04:55:00

Боюсь, запустить Snort как демон не получится. В какой-то момент после инициализации списков атак и прочего запускается другой поток, и он не получает данные из unix pipe команды. — Это верно только если Snort запущен как демон. Если запускать Snort без ключа -D, он сможет принимать данные из pipe. У меня в окружении кластер VmWare с несколькими ВМ, и у меня есть два решения: выделенный порт или VLAN на стороне VmWare с зеркалированием портов на RouterOS. Поток отправляю через calea. Попробую сделать скрипт запуска с помощью screen.

estenole

Guest

11.04.2012 17:56:00

Я провёл несколько тестов, и проблема с моей конфигурацией (стандартной для ossim) связана с настройкой препроцессора. Если я загружаю конфиг так, всё работает нормально:
/root/trafr -s | /usr/sbin/snort_eth0 --disable-attribute-reload-thread -m 027 -d -l /var/log/snort -u snort -g snort -r -

Но если добавить конфигурационный файл, отражающий настройки препроцессора ( -c /etc/snort/snort.eth0.conf ), пакеты уже не обрабатываются. Я планирую ещё тесты, но глядя на конфиг, скорее всего проблема в препроцессорах.

###################################################
Этот файл содержит пример конфигурации snort. Рекомендуется сделать следующее, чтобы создать свою собственную конфигурацию:
1) Задать сетевые переменные.
2) Настроить декодер.
3) Настроить базовый движок обнаружения.
4) Настроить динамически загружаемые библиотеки.
5) Настроить препроцессоры.
6) Настроить выходные плагины.
7) Подготовить набор правил.
8) Настроить набор правил для препроцессоров и декодера.
9) Настроить набор правил для shared object.
###################################################

Кто-нибудь использует trafr на установках ossim? Как именно?
Я подумываю использовать tcprewrite или что-то подобное, но без изменений в заголовках. Пока работает вариант, когда пакеты переписываются на loopback с установленными source и destination 127.0.0.1. Нужно выяснить, есть ли возможность прямого переписывания без изменений. Кто-нибудь знает?
Спасибо.

troynel

Guest

#10

20.07.2012 00:26:00

Вот открытая программа, которую я создал, чтобы принимать поток TZSP и сохранять инкапсулированные данные в файл PCAP. Протокол TZSP удаляется, что упрощает импорт этих данных во множество программ для анализа трафика, таких как Wireshark и aircrack. **правка: теперь этот код размещён на Google code. Не стесняйтесь вносить изменения и поддерживать проект. http://code.google.com/p/tzsp2cap/

gkoufoud

Guest

#11

28.11.2012 10:53:00

Привет! Я разработал систему IDS/IPS для RouterOS. Вот ссылка: http://sourceforge.net/projects/mt-fw-attack/ Для её компиляции и запуска нужна машина с Linux. Система собирает syslog-сообщения с вашего устройства RouterOS (в инструкции объясняется, как её использовать) и добавляет атакующих в список адресов, который можно применить для их блокировки.

cybercoder

Guest

#12

28.11.2012 12:01:00

Используйте опцию -r в Snort для чтения файла захвата pcap, будь то от Snort, TCPDump, Ethereal или любой другой программы, которая создаёт файл в формате libpcap. Вы можете запускать сниффер (traffr) в фоне через screen (ты сам говорил), а затем с помощью ключа -r в snort анализировать файлы, но при этом понадобится скрипт таймера для проверки новых файлов, которые создаёт traffr.

cybercoder Guest	#13 0 28.11.2012 12:09:00 Думаю, node.js очень пригодится в этой ситуации — он создаст тебе демон, который будет слушать порты и выполнять твои команды. http://www.nodejs.org/

danial898 Guest	#14 0 17.08.2016 05:07:00 Привет, вышел релиз-пакет Snort для Windows, может, запустить IPS на Mikrotik и Windows?

VincentL Guest	#15 0 03.02.2017 14:45:00 Привет, большое спасибо за эту тему. Благодаря ей и помощи Noah Dietrich из Snort Technology я теперь могу использовать Snort вместе с моим Mikrotik. Для запуска команд я использую tmux. Поскольку моя виртуальная машина с Snort работает на Ubuntu, я использую такую команду: sudo trafr -s \| sudo snort -c /etc/snort/snort.conf -l /var/log/snort/ -r - -A console Snort теперь не работает в фоне, как это рекомендовано в теме. У меня остался вопрос: нужно ли запускать Barnyard2 вручную, как Snort? Каждый раз, когда я запускаю его через SystemD, Barnyard перестаёт работать спустя неопределённое время (может быть через час, а может и раньше). Спасибо, Vincent P.S. В мою базу данных занесено более 284 000 событий, но Snorby, кажется, зависает, хотя Snort и Barnyard при этом продолжают работать.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры