[GTER] Regras de detecção para Snort e Suricata

mestre pô curupas at gmail.com
Tue Mar 30 11:09:48 -03 2021


Bom dia Amanda,

Você está usando o Snort ativamente ou passivamente, qual a topologia? Se
for passivamente precisa se certificar com um wireshark ou similar se o
tráfego está chegando corretamente no Snort.

Uma sugestão de estratégia para criar experiência com o Snort e daí em
diante para outros IDS é instalar um PFSense entre o "atacante" e o "alvo".
O PFSense tem um package Snort bem fácil de configurar e é leve o
suficiente para virtualizar. (usando VMWare Workstation ou ESXi, por
exemplo). Assim você ganha confiança que o teu baseline foi instalado
corretamente.

Usando um Kali de um lado (com muitas dessas ferramentas que imagino você
precisará) e uma máquina "metasploitable" (
https://sourceforge.net/projects/metasploitable/) na outra ponta poderá
ganhar boa flexibilidade para seus estudos. Requer algum esforço e know-how
adicional, contudo. O Metasploitable é meio antigo, mas serve de base para
a ideia geral.

[[[KALI]] <----> [PFSense FW com Snort] <----> [[Metasploitable]] (e outras
possibilidades)

Ricardo Tavares

On Tue, Mar 30, 2021 at 10:32 AM Amanda Barbosa <amanda at acmesecurity.org>
wrote:

> Olá pessoal, bom dia.
>
> Estou tentando validar o sistema de detecção de ataques da minha
> pesquisa de mestrado e, para isso, preciso comparar os resultados com as
> detecções feitas por IDSs já existentes. Escolhi o Snort e o Suricata
> por achar que, por serem mais tradicionais, teria mais conteúdo
> disponível para configurá-los.
>
> No entanto, estou com dificuldades para encontrar assinaturas para eles.
>
> Preciso apenas detectar Portscans, Bruteforces em qualquer porta (pode
> ser na 22 mesmo), e DoS/DDoS. Estou fazendo os testes usando ferramentas
> open source (Nmap, Hydra e Hping) com as configurações padrão, mas as
> regras padrão da comunidade do Snort e Suricata não estão detectando
> esses ataques (no caso do Snort, cheguei a baixar as regras que eles
> disponibilizam para quem cria um login de acesso no site deles, mas não
> adiantou).
>
> Algum de vocês conhece ou já usou alguma lista de regras/assinaturas
> para esses IDSs que funcionem para esses ataques? Ou já
> trabalhou/trabalha com esses IDSs e poderia auxiliar na formulação
> dessas regras?
>
> Obrigada.
>
> Att.
>
> --
> Amanda Barbosa Sobrinho
> Analista de Segurança
> ACME! CyberSecurity Research Labs
> UNESP - São José do Rio Preto, SP
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list