• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Snort y detección de arp spoofing

Español
2
5
5.5k
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • J
    jalgaz
    last edited by Sep 7, 2009, 10:15 PM

    Alguien tienene funcionando snort para poder detectar el arp spoofing?
    Supuestamente lo debe detectar y bloquear mediante una regla de 'preprocesado'.
    Lo que ocurre es que no encuentro info por ningún lado, y entre las reglas que incorpora el paquete de snort para pfsense no aparece nada sobre usurpación de ip mediante ataques arp.

    Creo que para cualquier red es algo muy interesante, sobre todo si es una red publica. (Protección para los usuarios)

    gracias y un saludo
    JuanjoA

    –-----------------------------------
    saludos
    JuanjoA

    1 Reply Last reply Reply Quote 0
    • B
      bellera
      last edited by Sep 8, 2009, 7:09 AM Sep 8, 2009, 7:07 AM

      ¡Hola!

      Mirando por encima (en un snort que no está dentro de pfSense), en snort.conf dice:

      arpspoof

      #–--------------------------------------

      Experimental ARP detection code from Jeff Nathan, detects ARP attacks,

      unicast ARP requests, and specific ARP mapping monitoring.  To make use of

      this preprocessor you must specify the IP and hardware address of hosts on

      the same layer 2 segment as you.  Specify one host IP MAC combo per line.

      Also takes a "-unicast" option to turn on unicast ARP request detection.

      Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:

      SID     Event description

      -----   -------------------

      1       Unicast ARP request

      2       Etherframe ARP mismatch (src)

      3       Etherframe ARP mismatch (dst)

      4       ARP cache overwrite attack

      #preprocessor arpspoof
      #preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00

      O sea que tienes que activar y configurar el preprocessor. No sé si el configurador web de pfSense te permite hacerlo o tendrás que hacerlo desde la consola.

      Comprueba la versión que tiees de snort y mira en la documentación disponible en www.sourcefire.com

      Saludos,

      Josep Pujadas

      1 Reply Last reply Reply Quote 0
      • J
        jalgaz
        last edited by Sep 8, 2009, 11:08 AM

        Gracias, lo miro y ya cuento.

        La dirección de los doc:
        http://www.snort.org/docs/

        La dirección del manual de usuario:
        http://www.snort.org/assets/82/snort_manual.pdf

        un saludo
        JuanjoA

        –-----------------------------------
        saludos
        JuanjoA

        1 Reply Last reply Reply Quote 0
        • J
          jalgaz
          last edited by Sep 8, 2009, 5:49 PM

          ok, no parece muy complicado, (gracias bellera por la orientacion) se basa en añadir un par de lineas a el archivo de configuracion de snort.

          Podemos utilizar el campo que hay en pfsense gui –> services --> snort --> advanced --> Advanced configuration pass through  y ahi indicar las lineas que serian:
          preprocessor arpspoof
          preprocessor arpspoof_detect_host:ip_a_monitorizar mac_de_esa_ip

          Configurandolo desde la web de pfsense se modifica /cf/config/config.xml y tras un reinicio se modifica /usr/local/etc/snort/snort.conf
          El problema lo tengo en como indicar en el campo del formulario Advanced configuration… el salto de linea para que distinga que en el snort.conf debe meter 2 lineas.
          He probado br, /br, /n, presionar intro directamente y nada de nada. (para el br le pongo <> pero para que no se interprete en el post como un salto de linea no lo pongo)
          Lo he puesto a mano en el snort.conf y funciona, detecta el arp spoofing, pero al reiniciar se vuelve a restaurar el fichero de configuracion.
          Alguna idea?

          gracias
          juanjoA

          –-----------------------------------
          saludos
          JuanjoA

          1 Reply Last reply Reply Quote 0
          • B
            bellera
            last edited by Sep 8, 2009, 6:53 PM

            ¡Hola!

            Pues no tengo ni idea de qué truco puedes emplear. Es la pega de los configuradores web …

            Quizás intentar poner snort.conf en modo sólo lectura, a ver si no se modifica.

            A ver si hay alguien que tenga alguna idea más ...

            Saludos,

            Josep Pujadas

            1 Reply Last reply Reply Quote 0
            4 out of 5
            • First post
              4/5
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.