Herramientas de escáner de vulnerabilidad para usar con Snort

Question

Herramientas de escáner de vulnerabilidad para usar con Snort

#1 de Mark Hillick (1 votos)
#2 de Marinus (0 votos)

1

Planeamos agregar Snort con el firewall para que nuestra red tenga una seguridad mejorada. El propósito, aparte de la protección contra el tráfico malicioso, es personalizar Snort para detectar y bloquear el tráfico específico según nuestras necesidades. Básicamente, estaré escribiendo reglas para Snort para nuestras necesidades específicas. Pero antes de comenzar todo eso, necesito usar una herramienta de exploración de vulnerabilidades para conocer las vulnerabilidades que Snort-firewall no está detectando actualmente, y luego puedo comenzar a escribir reglas para Snort para esas vulnerabilidades. Dada mi situación, ¿puedo tener sugerencias para la herramienta correcta? Solo conozco algunos nombres como Nessus, Metaslpoit, OpenVAS, nmap ...

vulnerability-scanners snort

pregunta pnp 18.05.2012 - 08:20

fuente

2 respuestas

0

No intentaría implementar snort para detectar escáneres. Necesita implementar snort para detectar ataques y sondeos contra sus activos. Sin saber qué planeas proteger, no puedes escribir buenas reglas. Detectar un análisis para, por ejemplo, tooltalk, cuando ni siquiera lo ejecuta, solo le dirá que alguien está ejecutando un escáner de vulnerabilidad mal configurado.

respondido por el Marinus 18.05.2012 - 11:20

fuente

Lea otras preguntas en las etiquetas vulnerability-scanners snort

¿Consulta DNS a través de squid? [cerrado] Problema de la ruta predeterminada de Cisco ASA

score 1 · Accepted Answer

Simplemente descargue la distro Backtrack 5 (http://www.backtrack-linux.org/downloads/) ya que es gratis y viene con Nmap, Nessus, Metasploit, Openvas y mucho más. En mi humilde opinión, nmap es el mejor escáner, pero cada uno tiene sus propias preferencias. Metasploit tiene una buena integración con nmap

Fuera de la caja, Snort detectará muchos de los escaneos predeterminados porque los paquetes enviados tienen una firma / formulario que ha estado disponible durante años y por eso es bien conocido.

Además, hay tantos análisis en estos días en la red que las personas (correcta o incorrectamente) generalmente ignoran ese ruido en los cortafuegos o sistemas de identificación / ips.

Sería mejor dar el paso adicional y ver lo que puede detectar o hacer luego de la fase de exploración (suponiendo que tenga permiso para lanzar más ataques / pruebas). Un escáner de vulnerabilidades no necesariamente le dirá qué ataques son posibles, solo qué vulnerabilidades cree que tienen sus sistemas (y pueden ser falsos positivos).