He instalado Snort 2.9.7.0 y no detecta la mayoría de los ataques, como las exploraciones de puertos nmap, la descarga de archivos exe, la apertura de documentos que contienen la palabra clave "raíz".
Uso Snort junto con Pulled Pork y Barnyard2. Todo parece funcionar y puedo ver las alertas en el sitio web que funciona con BASE.
El problema es que solo puedo activar 3 alertas diferentes. Todo lo demás simplemente no es detectado. Obviamente, quiero poder recibir alertas cuando alguien realiza una exploración de puertos, intentando intentar realizar un ataque DDOS, etc. Esto no puedo disparar. ¿Tengo que habilitar algo en algún lugar? ...
He creado mi propio archivo local.rules, que contiene una única regla: la supervisión de los paquetes de eco ICMP.
Pulled Pork muestra que ha descargado más de 20000 reglas y más de 5000 reglas están habilitadas. Esto se puede ver en el archivo snort.rules, que incluí en el archivo snort.conf.
Las 3 alertas que puedo activar son:
- stream5: Umbral de segmento pequeño TCP excedido (esto se debe a mi antigua Ganar cliente SCP)
- ssh: Desajuste de protocolo (esto se debe a mi antiguo cliente Putty)
- prueba ICMP (mi propia regla de las reglas locales)
Mi snort.conf se puede encontrar en el siguiente sitio web (tuve que moverlo allí porque alcancé la lista de caracteres máximos): enlace
Mi pullpork.conf se puede encontrar en el siguiente sitio web: enlace
Mis reglas locales tienen este aspecto (que funciona):
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)