Snort No se pueden detectar portscans en LAN

1

Información de configuración

Estoy realizando un experimento en detección de análisis de puertos utilizando snort 2.9.8 . Tengo 10 sistemas en mi laboratorio con id: 1,2,3 ,. .., 10. tengo instalado snort en mi lab-pc con id: 1 . Ahora estoy usando Pc con id: 2 para escanear las PC en laboratorio usando nmap.

Duda

Cuando escaneo la máquina en la que está instalado snort (id: 1), recibo las alertas de portscan, sin embargo, cuando escaneo otros sistemas (por ejemplo, system with id: 3), snort no genera ninguna alerta.

Entonces, ¿por qué snort no puede generar alertas de escaneo de puertos en este escenario?

(Supuse que Snort controla los paquetes en HOME_NETWORK en modo promiscuo, corríjame si me equivoco)

    
pregunta user10012 11.04.2016 - 13:31
fuente

3 respuestas

3
  

Estaba asumiendo que snort monitorea los paquetes en HOME_NETWORK en modo promiscuo, corrígeme amablemente si estoy equivocado.

Snort solo puede monitorear paquetes que pueden verse en la tarjeta de red, incluso en modo promiscuo. Por lo general, el conmutador en una red solo enviará paquetes en el puerto donde está conectado el dispositivo específico. Esto significa que Snort debe instalarse en el puerto del monitor del switch o similar.

Consulte también enlace

    
respondido por el Steffen Ullrich 11.04.2016 - 13:42
fuente
1

Es difícil decirlo sin conocer la topología de la red, pero supongo que no tiene configurado snort en un puerto SPAN o similar.

Si su red está cambiada, entonces el buzón de snort no recibirá tráfico que no esté dirigido a ella ni a la transmisión. Puede que esté escuchando en modo promiscuo, pero si los paquetes no llegan realmente a la interfaz, no hay mucho que snort pueda hacer al respecto.

La solución sería colocar el snort en alguna posición donde pueda ver el tráfico que desea detectar. Ya sea en línea (entre los dos hosts), o en un puerto SPAN que refleje el tráfico en el conmutador.

    
respondido por el Jozef Woods 11.04.2016 - 13:41
fuente
0

Debe asegurarse de que su IDS esté conectada al conmutador en el modo SPAN o al modo de duplicación de puertos. Luego debe configurar SPAN para vlan y luego todos los paquetes llegarán a su puerto, ergo su tarjeta de red, ergo snort.

    
respondido por el greg 19.10.2016 - 14:35
fuente

Lea otras preguntas en las etiquetas