Snort y detección de arp spoofing



  • Alguien tienene funcionando snort para poder detectar el arp spoofing?
    Supuestamente lo debe detectar y bloquear mediante una regla de 'preprocesado'.
    Lo que ocurre es que no encuentro info por ningún lado, y entre las reglas que incorpora el paquete de snort para pfsense no aparece nada sobre usurpación de ip mediante ataques arp.

    Creo que para cualquier red es algo muy interesante, sobre todo si es una red publica. (Protección para los usuarios)

    gracias y un saludo
    JuanjoA



  • ¡Hola!

    Mirando por encima (en un snort que no está dentro de pfSense), en snort.conf dice:

    arpspoof

    #–--------------------------------------

    Experimental ARP detection code from Jeff Nathan, detects ARP attacks,

    unicast ARP requests, and specific ARP mapping monitoring.  To make use of

    this preprocessor you must specify the IP and hardware address of hosts on

    the same layer 2 segment as you.  Specify one host IP MAC combo per line.

    Also takes a "-unicast" option to turn on unicast ARP request detection.

    Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:

    SID     Event description

    -----   -------------------

    1       Unicast ARP request

    2       Etherframe ARP mismatch (src)

    3       Etherframe ARP mismatch (dst)

    4       ARP cache overwrite attack

    #preprocessor arpspoof
    #preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00

    O sea que tienes que activar y configurar el preprocessor. No sé si el configurador web de pfSense te permite hacerlo o tendrás que hacerlo desde la consola.

    Comprueba la versión que tiees de snort y mira en la documentación disponible en www.sourcefire.com

    Saludos,

    Josep Pujadas



  • Gracias, lo miro y ya cuento.

    La dirección de los doc:
    http://www.snort.org/docs/

    La dirección del manual de usuario:
    http://www.snort.org/assets/82/snort_manual.pdf

    un saludo
    JuanjoA



  • ok, no parece muy complicado, (gracias bellera por la orientacion) se basa en añadir un par de lineas a el archivo de configuracion de snort.

    Podemos utilizar el campo que hay en pfsense gui –> services --> snort --> advanced --> Advanced configuration pass through  y ahi indicar las lineas que serian:
    preprocessor arpspoof
    preprocessor arpspoof_detect_host:ip_a_monitorizar mac_de_esa_ip

    Configurandolo desde la web de pfsense se modifica /cf/config/config.xml y tras un reinicio se modifica /usr/local/etc/snort/snort.conf
    El problema lo tengo en como indicar en el campo del formulario Advanced configuration… el salto de linea para que distinga que en el snort.conf debe meter 2 lineas.
    He probado br, /br, /n, presionar intro directamente y nada de nada. (para el br le pongo <> pero para que no se interprete en el post como un salto de linea no lo pongo)
    Lo he puesto a mano en el snort.conf y funciona, detecta el arp spoofing, pero al reiniciar se vuelve a restaurar el fichero de configuracion.
    Alguna idea?

    gracias
    juanjoA



  • ¡Hola!

    Pues no tengo ni idea de qué truco puedes emplear. Es la pega de los configuradores web …

    Quizás intentar poner snort.conf en modo sólo lectura, a ver si no se modifica.

    A ver si hay alguien que tenga alguna idea más ...

    Saludos,

    Josep Pujadas


Log in to reply