Dudas sobre deteccion de ataques.

tsis · Nov 1, 2014, 11:34 AM

Buenas

llevo ya varios dias probando paquetes y no encuentro uno que haga lo siguiente: la idea es que haga un informe o documento y lo mande por correo del tipo mailreport, esto si veo que lo hace perfectamente, incluso manda el log via formato raw. pero necesito indagar un poco es los ataques como escaneos de puertos etc, saber ip origen, algo que sea reactivo que lo mande cuendo se genere el scaneo por ejemplo.

cuales son los los paquetes sobre deteccion de intentos de ataques IPS?

tengo plataformas con sophos que si lo hacen y generan pdf con informes de uso ect…

muchas gracias

bellera · Nov 1, 2014, 12:40 PM

snort puede trabajar con una BD tipo MySQL y hay herramientas de análisis de lo que se guarda en la BD…

Un ejemplo:

http://www.bellera.cat/josep/snort2pfsense/

Puedes plantearte tener a snort en el propio pfSense y enviar los logs a un servidor de logs externo:

http://blog.snort.org/2011/01/guis-for-snort.html

tsis · Nov 1, 2014, 2:54 PM

hola

he ido a volver a instalarl snort desde el paquete pfsense y no me ha dejado hasta que hice una reinstalacion, por algun motivo y siguiendo la guia oficial de configuracion no me inicia el snort, se queda siempre en rojo y en log de system no aparece nada que me guie al motivo de no poderlo iniciar correctamente.

Nov 1 15:52:19 php: /snort/snort_interfaces.php: [Snort] Building new sig-msg.map file for WAN…
Nov 1 15:52:18 php: /snort/snort_interfaces.php: [Snort] Enabling any flowbit-required rules for: WAN…
Nov 1 15:52:00 php: /snort/snort_interfaces.php: [Snort] Updating rules configuration for: WAN …
Nov 1 15:51:35 php: /snort/snort_interfaces.php: [Snort] Building new sig-msg.map file for WAN…
Nov 1 15:51:34 php: /snort/snort_interfaces.php: [Snort] Enabling any flowbit-required rules for: WAN…
Nov 1 15:51:17 php: /snort/snort_interfaces.php: [Snort] Updating rules configuration for: WAN …
Nov 1 15:51:01 check_reload_status: Syncing firewall
Nov 1 15:48:47 php: /snort/snort_rulesets.php: [Snort] Building new sig-msg.map file for WAN…
Nov 1 15:48:45 php: /snort/snort_rulesets.php: [Snort] Enabling any flowbit-required rules for: WAN…
Nov 1 15:46:58 php: /snort/snort_rulesets.php: [Snort] Updating rules configuration for: WAN …
Nov 1 15:46:55 check_reload_status: Syncing firewall
Nov 1 15:45:18 sshlockout[52854]: sshlockout/webConfigurator v3.0 starting up

tsis · Nov 1, 2014, 8:20 PM

logre iniciarlo, hay una opcion en la desinstalación que es que borre toda la configuración anterior, la marque y ya inicio despues de hacer una instalación limpia.

ahora toca parametrizarlo bien.

:)

tsis · Nov 2, 2014, 11:39 AM

:( vuelve a caer el servicio de snort al rato sin dejar huella en el log. le paso a alguien?

bellera · Nov 2, 2014, 11:47 AM

snort suele caer cuando tiene problemas con alguna de sus reglas.

Google test snort rules

¡Suerte!

tsis · Nov 3, 2014, 8:14 AM

ya pero lo tiene todo por defecto es lo que me choca.

gracias