¿Cómo detectar Snort en la red?

2

¿Alguien sabe cómo hacer una huella digital de un IPS? ¿Hay alguna herramienta disponible para hacer el trabajo? Quiero detectar snort en mi red. Agradecería cualquier tipo de ayuda.

    
pregunta stephany 21.04.2014 - 11:28
fuente

2 respuestas

5

Configurado correctamente, no deberías poder detectar snort. "Correctamente" significa en un puerto no configurado / sin dirección asignado en modo promiscuo. Como mencionó el PTW-105, si snort está configurado para enviar reinicios, entonces quizás puede detectarlo, pero lo más probable es que detecte que algo lo estaba bloqueando. Lo mismo ocurre si está en modo en línea.

Hay dos cosas en las que puedo pensar si realmente deseaba saber si era snort (a diferencia de otros IDS / IPS) si 1) se hubiera configurado para hacer el registro en algún otro host y usted pudo ver eso. tráfico o 2) podría enviar paquetes que sabe que coincidirían con el conjunto de reglas de snort y si tiene suficientes aciertos, especialmente para cosas no estándar o si sus paquetes eran tan específicos que probablemente solo caerían en la detección de snort, podría saber de esa manera. Pero sería ruidoso ya que estaba activando las alarmas intencionalmente y, si snort no estuviera configurado en algún tipo de modo de bloqueo activo, no conozco otra forma de conocer otra cosa que no sea un sistema que devolvió los datos de alerta al lugar. pudiste ver.

Gracias,

~ Patrick

    
respondido por el phoo 13.06.2014 - 03:11
fuente
1

No estoy muy familiarizado con snort, pero tengo experiencia con otros productos IPS.

Como se mencionó @ edvinas.me, si snort se está ejecutando en modo IDS solo, es probable que no pueda tomar una huella digital. Algunos productos IDS, como FireEye, se venden como un producto IDS solo cuando se ejecutan desde un puerto SPAN, pero son capaces de restablecer la conexión si se configuran como tales. Esta puede ser una forma de descubrir activamente un producto IDS / IPS.

Muchos productos que son productos IPS en toda regla realizarán un DROP en una conexión de forma predeterminada, en lugar de un DENY en una conexión entrante, lo que dificultará su detección y su huella digital.

No lo tengo delante, pero creo que la distribución de Linux de Kali tiene algunas herramientas enlatadas para IDS / IPS, firewall, WAF y otras cosas. Puede valer la pena intentarlo si estás jugando en tu propio entorno.

    
respondido por el PTW-105 21.04.2014 - 20:04
fuente

Lea otras preguntas en las etiquetas