Snort y detección de arp spoofing

jalgaz

Alguien tienene funcionando snort para poder detectar el arp spoofing?
Supuestamente lo debe detectar y bloquear mediante una regla de 'preprocesado'.
Lo que ocurre es que no encuentro info por ningún lado, y entre las reglas que incorpora el paquete de snort para pfsense no aparece nada sobre usurpación de ip mediante ataques arp.

Creo que para cualquier red es algo muy interesante, sobre todo si es una red publica. (Protección para los usuarios)

gracias y un saludo
JuanjoA

bellera

¡Hola!

Mirando por encima (en un snort que no está dentro de pfSense), en snort.conf dice:

arpspoof

#–--------------------------------------

Experimental ARP detection code from Jeff Nathan, detects ARP attacks,

unicast ARP requests, and specific ARP mapping monitoring.  To make use of

this preprocessor you must specify the IP and hardware address of hosts on

the same layer 2 segment as you.  Specify one host IP MAC combo per line.

Also takes a "-unicast" option to turn on unicast ARP request detection.

Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:

SID     Event description

-----   -------------------

1       Unicast ARP request

2       Etherframe ARP mismatch (src)

3       Etherframe ARP mismatch (dst)

4       ARP cache overwrite attack

#preprocessor arpspoof
#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00

O sea que tienes que activar y configurar el preprocessor. No sé si el configurador web de pfSense te permite hacerlo o tendrás que hacerlo desde la consola.

Comprueba la versión que tiees de snort y mira en la documentación disponible en www.sourcefire.com

Saludos,

Josep Pujadas

jalgaz

Gracias, lo miro y ya cuento.

La dirección de los doc:
http://www.snort.org/docs/

La dirección del manual de usuario:
http://www.snort.org/assets/82/snort_manual.pdf

un saludo
JuanjoA

jalgaz

ok, no parece muy complicado, (gracias bellera por la orientacion) se basa en añadir un par de lineas a el archivo de configuracion de snort.

Podemos utilizar el campo que hay en pfsense gui –> services --> snort --> advanced --> Advanced configuration pass through  y ahi indicar las lineas que serian:
preprocessor arpspoof
preprocessor arpspoof_detect_host:ip_a_monitorizar mac_de_esa_ip

Configurandolo desde la web de pfsense se modifica /cf/config/config.xml y tras un reinicio se modifica /usr/local/etc/snort/snort.conf
El problema lo tengo en como indicar en el campo del formulario Advanced configuration… el salto de linea para que distinga que en el snort.conf debe meter 2 lineas.
He probado br, /br, /n, presionar intro directamente y nada de nada. (para el br le pongo <> pero para que no se interprete en el post como un salto de linea no lo pongo)
Lo he puesto a mano en el snort.conf y funciona, detecta el arp spoofing, pero al reiniciar se vuelve a restaurar el fichero de configuracion.
Alguna idea?

gracias
juanjoA

bellera

¡Hola!

Pues no tengo ni idea de qué truco puedes emplear. Es la pega de los configuradores web …

Quizás intentar poner snort.conf en modo sólo lectura, a ver si no se modifica.

A ver si hay alguien que tenga alguna idea más ...

Saludos,

Josep Pujadas