[GTER] Regras de detecção para Snort e Suricata
Andre Bolzan
andre.bolzan at fixfibra.com.br
Wed Apr 7 01:52:55 -03 2021
Bom dia, Amanda
Tudo bem?
Se possível as configurações usadas nas regras e no snort...
Valida se "socket" está abrindo certinho..
Outro erro comum e o buffet tcp/udp estourar e aplicação parar.
Tem alguns ajustes de kernel e parâmetros da placa de rede que normalmente
precisar ser ajustando de acordo com volume de tráfego...
Espero ter ajudado.. como dizem por aí, esse foi meu bit :)
Em ter, 30 de mar de 2021 15:01, mestre pô <curupas at gmail.com> escreveu:
> Boa tarde Amanda,
>
> A tua topologia parece correta para mim e tuas validações também. O Snort
> tem uma instalação meio antipática e eu sugeri o PFSense porque é quase
> turnkey e tem um painelzinho fácil, mas você é uma usuária avançada do
> Snort e montou uma máquina standalone. Deixa eu pesquisar o assunto aqui um
> pouco mais. Se eu achar alguma coisa que possa te ajudar vou te enviar um
> email direto porque esse assunto é off topic nessa lista, acredito.
>
> Ricardo Tavares
>
> On Tue, Mar 30, 2021 at 2:37 PM Amanda Barbosa <amanda at acmesecurity.org>
> wrote:
>
> > Olá Ricardo, boa tarde.
> >
> > Estou usando o Snort de forma passiva. Ele recebe o tráfego espelhado da
> > DMZ e da rede interna do laboratório por meio do roteador de borda. Já
> > rodei o tcpdump na interface de rede da máquina onde o Snort está
> > instalado e consigo ver todo o tráfego da rede (a interface está em modo
> > promíscuo). Já fiz alguns scans de fora da rede do laboratório em
> > máquinas da DMZ e consigo ver os pacotes do scan chegando na interface
> > com o tcpdump. Assim, posso afirmar que todo o tráfego está chegando
> > corretamente na interface que o Snort observa.
> >
> > Cheguei a executar algumas regras de teste do Snort para ver se ele
> > estava detectando, e pude ver essas regras sendo corretamente ativadas
> > nos logs do Snort e diretamente no terminal ao executá-lo. Ou seja,
> > realmente são as regras preexistentes que não detectam scans de Nmap,
> > bruteforces do Hydra e DoS/DDoS do hping3.
> >
> > O Snort foi instalado em uma máquina virtual usando o procedimento de
> > instalação padrão que está descrito no site deles. As regras que estou
> > utilizando para detectar são as disponibilizadas pela comunidade, que
> > podem ser baixadas do site do Snort com uma conta gratuita.
> >
> > Existe alguma diferença entre esse método de instalação do Snort e o que
> > vem com o PFSense? No PFSense existem outras regras de detecção já
> > disponibilizadas?
> >
> > Att.
> >
> > --
> > Amanda Barbosa Sobrinho
> > Analista de Segurança
> > ACME! CyberSecurity Research Labs
> > UNESP - São José do Rio Preto, SP
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list