Howto install and configure Snort on Debian Lenny

السلام عليكم ورحمة الله وبركاته

قمت بكتاب هذا المستند في العمل وذلك لأجل التوثيق ولكي يسهل على من ياتي بعدي في العمل حين يحتاج الى تنصيب مثلاً برنامج Snort … ولهذا أحببت أن أجعل نسخة منه هنا لمن يود إستعمالها أو الإستفادة من المادة البسيطة التي فيها …

الشرح يخص تنصيب برنامج Snort الخاص بإكتشاف الهجمات والدخلاء IDS والتصدي لهم IPS على نظام Debian Lenny الأخير 5.0.3 … مع عمل الإعدادات اللازمة له لكي يعمل بشكل صحيح على Sensor واحد فقط …
Continue reading

Open Source Security Information Management

السلام عليكم ورحمة الله وبركاته

منذ فترة لم نكتب عن حاجة جديدة والسبب العمل، ولهذا قررت أكتب عن بعض الأمور التي أستعملها في عملي وبعض التقنيات والطرق أيضاً التي أستعملها في إدارة العمل … في البداية ربما الكثير منا يظن بإن الحماية والأمن هي فقط أمن المواقع وهذا أمر ليس صحيحاً، ولهذا نرى الكثيرين يهتمون بهذا الجانب وينسون جوانب أخرى كثيرة … المحافظة على Assets الشركة هي أمن، المراقبة والمتابعة للخدمات وكيف هو عملها وأداءها هو أمن، المتابعة والمراقبة لسجلات الأنظمة والخدمات هو أيضاً أمن، ومعرفة ما يدخل الى شبكتك وماذا يخرج منها هو أيضاً أمن وغيرها الكثير من الأمور …

طيب لمراقبة الشبكة تستعمل ntop ولمراقبة الخدمات والخوادم تستعمل Nagios ولمراقبة الحزم ربما تستعمل tcptrack ولمراقبة الـ MAC Addresses تستعمل ArpWatch ولمراقبة هل هناك هجمات أو لا من خلال IDS تستعمل Snort وغيرها من الأدوات التي تستعملها للمراقبة والمتابعة لما يخص الشبكة التي تشرف عليها … طيب أنظر الى حجم العمل الذي سيكون على كاهلك والسبب وجود عدة برامج وعدة روابط وبرامج للمتابعة … ستتنقل بين متابعة Nagios و Snort وغيرها من البرامج كل مرة … متعب صح ؟

وأيضاً لو كانت الإدارة تطلب منك تقارير إسبوعية عن حالة الشبكة والخدمات التي عليها كيف ستعمل ذلك وأنت تستعمل هذه البرامج بهذه الطريقة؟ الجواب مهلك بصراحة وأكثر من ما تتوقعون حتى لو كانت الشبكة صغيرة جداً فما بالك حين يكون حجمها عشرات من الخوادم ومئات الموظفين وأجهزتهم !!!
Continue reading

Tiger – Security audit and intrusion detection tool

السلام عليكم ورحمة الله وبركاته

مؤخراً قمت بتجربة العديد من البرامج وكان أحدها هو Tiger … الأداة Tiger يمكن إستعمالها كأداة لفحص النظام وإعداداته وبعض العيوب فيها … وأيضاً يمكن إستعماله كأداة Intrusion Detection … الأداة طبعاً تخضع لرخصة GPL وأيضاً مكتوبة بلغة الـ SHELL ولهذا سهل الإضافة/التعديل عليها … وأيضاً حسب ما قرأت حول الإداة هو إمكانية الإضافة عليها لأمور ربما غير موجودة بسبب هيكليتها التي تعمل بشكل Modular …

الأداة تركز بشكل أساسي على النظام/Host التي هي عليه … ولهذا هي تختلف عن أنظمة IDS كـ SNORT وغيره … ولهذا نستطيع أن نقول عنه بإنه عبارة عن أداة Host Intrusion Detection … Continue reading