Snort aunque funcione correctamente no informa la mayoría de las reglas

6

He instalado Snort 2.9.7.0 y no detecta la mayoría de los ataques, como las exploraciones de puertos nmap, la descarga de archivos exe, la apertura de documentos que contienen la palabra clave "raíz".

Uso Snort junto con Pulled Pork y Barnyard2. Todo parece funcionar y puedo ver las alertas en el sitio web que funciona con BASE.

El problema es que solo puedo activar 3 alertas diferentes. Todo lo demás simplemente no es detectado. Obviamente, quiero poder recibir alertas cuando alguien realiza una exploración de puertos, intentando intentar realizar un ataque DDOS, etc. Esto no puedo disparar. ¿Tengo que habilitar algo en algún lugar? ...

He creado mi propio archivo local.rules, que contiene una única regla: la supervisión de los paquetes de eco ICMP.

Pulled Pork muestra que ha descargado más de 20000 reglas y más de 5000 reglas están habilitadas. Esto se puede ver en el archivo snort.rules, que incluí en el archivo snort.conf.

Las 3 alertas que puedo activar son:

  • stream5: Umbral de segmento pequeño TCP excedido (esto se debe a mi antigua Ganar cliente SCP)
  • ssh: Desajuste de protocolo (esto se debe a mi antiguo cliente Putty)
  • prueba ICMP (mi propia regla de las reglas locales)

Mi snort.conf se puede encontrar en el siguiente sitio web (tuve que moverlo allí porque alcancé la lista de caracteres máximos): enlace

Mi pullpork.conf se puede encontrar en el siguiente sitio web: enlace

Mis reglas locales tienen este aspecto (que funciona):

alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
    
pregunta Jonas Hoffmann 11.02.2015 - 16:47
fuente

1 respuesta

1

Ok, rompa su pregunta con su solución en partes.

  1. PortScan

    Hay algunas configuraciones que necesita cambiar para habilitar nmap portscan abra el archivo de configuración de snort con sudo gedit /etc/snort/snort.conf .

    descomente y modifique esta línea (generalmente # 428):

    Portscan detection. For more information, see README.sfportscan

    preprocessor sfportscan: proto { all } memcap { 10000000 } sense_level { medium } logfile { /var/log/snort/portscan.log }

    sudo service snort restart

  2. Descargando archivo exe

    Necesitas encontrar reglas o escribir tu propia regla. En su mayoría, presente en las reglas ET o Snort, por defecto debes encontrarla y descomentarla.

Puede encontrar cada tipo de regla para el propósito que está solicitando allí      /etc/snort/rules/snort.rules (en la mayoría de los casos) Necesitas encontrar tu propio archivo.

    
respondido por el Root 02.03.2015 - 13:48
fuente

Lea otras preguntas en las etiquetas