[GTER] Regras de detecção para Snort e Suricata
mestre pô
curupas at gmail.com
Tue Mar 30 15:00:43 -03 2021
Boa tarde Amanda,
A tua topologia parece correta para mim e tuas validações também. O Snort
tem uma instalação meio antipática e eu sugeri o PFSense porque é quase
turnkey e tem um painelzinho fácil, mas você é uma usuária avançada do
Snort e montou uma máquina standalone. Deixa eu pesquisar o assunto aqui um
pouco mais. Se eu achar alguma coisa que possa te ajudar vou te enviar um
email direto porque esse assunto é off topic nessa lista, acredito.
Ricardo Tavares
On Tue, Mar 30, 2021 at 2:37 PM Amanda Barbosa <amanda at acmesecurity.org>
wrote:
> Olá Ricardo, boa tarde.
>
> Estou usando o Snort de forma passiva. Ele recebe o tráfego espelhado da
> DMZ e da rede interna do laboratório por meio do roteador de borda. Já
> rodei o tcpdump na interface de rede da máquina onde o Snort está
> instalado e consigo ver todo o tráfego da rede (a interface está em modo
> promíscuo). Já fiz alguns scans de fora da rede do laboratório em
> máquinas da DMZ e consigo ver os pacotes do scan chegando na interface
> com o tcpdump. Assim, posso afirmar que todo o tráfego está chegando
> corretamente na interface que o Snort observa.
>
> Cheguei a executar algumas regras de teste do Snort para ver se ele
> estava detectando, e pude ver essas regras sendo corretamente ativadas
> nos logs do Snort e diretamente no terminal ao executá-lo. Ou seja,
> realmente são as regras preexistentes que não detectam scans de Nmap,
> bruteforces do Hydra e DoS/DDoS do hping3.
>
> O Snort foi instalado em uma máquina virtual usando o procedimento de
> instalação padrão que está descrito no site deles. As regras que estou
> utilizando para detectar são as disponibilizadas pela comunidade, que
> podem ser baixadas do site do Snort com uma conta gratuita.
>
> Existe alguma diferença entre esse método de instalação do Snort e o que
> vem com o PFSense? No PFSense existem outras regras de detecção já
> disponibilizadas?
>
> Att.
>
> --
> Amanda Barbosa Sobrinho
> Analista de Segurança
> ACME! CyberSecurity Research Labs
> UNESP - São José do Rio Preto, SP
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list