Snort (IDS) No mostrar exploraciones de puertos

Navega tus respuestas
5

He instalado Snort & acidbase por esta instrucción y acceda a través de esta dirección local

  

127.0.0.1/acidbase/base_main.php

El problema es después de escanearlo con nmap con este comando

  

sudo nmap -p1-65535 -sV -sS -O [Snort Installed IP Address]

por otra computadora en la red que tiene conectividad de ping, no muestra nada en Portscan Traffic y siempre es 0%. Estoy seguro de que la configuración está bien porque registra todo lo demás y las alertas aparecen en el caché de alertas.

¿Alguna idea de por qué Snort no muestra la actividad de escaneo de puertos?

Editado:

Descomentar "preprocesador sfportscan", reiniciar el servicio de snort, escaneo de puertos con nmap, resultado: nada.

  

preprocesador sfportscan: proto {all} memcap {10000000}   sense_level {alto}

Ingresé mi dirección IP exacta en "ipvar HOME_NET", reinicio del servicio snort, escaneo de puertos con otra PC, resultado: nada.

la línea incluye

  

$ PREPROC_RULE_PATH / preprocessor.rules

está comentado, por lo que no hay ningún archivo preprocesador en esa ruta.

    
pregunta 25.03.2013 - 09:15
fuente

2 respuestas

2

Uno necesita saber su snort.conf y otras configuraciones de Snort para responder a esto. Sin embargo, intentaré responder con cualquier información limitada que hayas proporcionado.

Con toda probabilidad, la configuración del umbral para el portscan preprecessor (llamada como sfportscan si recuerdo correctamente) se establece en un valor más alto (predeterminado) en su snort.conf, y los puertos que realizó no pudieron cruzarse esos valores de umbral. Otra razón podría ser que su variable $HOME_NET está definida de tal manera que la IP que está escaneando no está en su HOME_NET y, por lo tanto, a Snort no le importan los escaneos. También podría haber otras razones, como la IP que está utilizando para escanear y la IP de destino, ambas son parte de su HOME_NET y, por lo tanto, a Snort no le importa un escaneo de HOME_NET a HOME_NET.

    
respondido por el pnp 25.03.2013 - 10:31
fuente
1

Debes descomentar esas líneas, es decir, hacerlo

incluye $ PREPROC_RULE_PATH / preprocessor.rules

simplemente habilitando el sfportscan no hará todo, aún tendrá que habilitar las reglas y la acción una vez que se detecte el escaneo de puertos.

    
respondido por el Rahul Dimri 05.06.2014 - 22:32
fuente

Lea otras preguntas en las etiquetas

He escuchado que la sal no está destinada a ser secreta, pero ¿y si la hubiera hecho secreta? [duplicar] Implicación de Websocket para firewalls