[GTER] Regras de detecção para Snort e Suricata

Amanda Barbosa amanda at acmesecurity.org
Tue Mar 30 14:37:19 -03 2021


Olá Ricardo, boa tarde.

Estou usando o Snort de forma passiva. Ele recebe o tráfego espelhado da
DMZ e da rede interna do laboratório por meio do roteador de borda. Já
rodei o tcpdump na interface de rede da máquina onde o Snort está
instalado e consigo ver todo o tráfego da rede (a interface está em modo
promíscuo). Já fiz alguns scans de fora da rede do laboratório em
máquinas da DMZ e consigo ver os pacotes do scan chegando na interface
com o tcpdump. Assim, posso afirmar que todo o tráfego está chegando
corretamente na interface que o Snort observa.

Cheguei a executar algumas regras de teste do Snort para ver se ele
estava detectando, e pude ver essas regras sendo corretamente ativadas
nos logs do Snort e diretamente no terminal ao executá-lo. Ou seja,
realmente são as regras preexistentes que não detectam scans de Nmap,
bruteforces do Hydra e DoS/DDoS do hping3.

O Snort foi instalado em uma máquina virtual usando o procedimento de
instalação padrão que está descrito no site deles. As regras que estou
utilizando para detectar são as disponibilizadas pela comunidade, que
podem ser baixadas do site do Snort com uma conta gratuita.

Existe alguma diferença entre esse método de instalação do Snort e o que
vem com o PFSense? No PFSense existem outras regras de detecção já
disponibilizadas?

Att.

--
Amanda Barbosa Sobrinho
Analista de Segurança
ACME! CyberSecurity Research Labs
UNESP - São José do Rio Preto, SP




More information about the gter mailing list