Buen dia.
Levante SNORT para hacer unas practicas, valide la confirguacion y todo bien, lo corro y marca OK... Pero tras checar el LOG no me lanza las alertas :(...
Les paso info de como lo tengo, solo indicare los elementos que cambie y descomente:
shell# cat /etc/snort/snort.conf ipvar HOME_NET 192.168.1.0/24 ipvar EXTERNAL_NET !$HOME_NET var RULE_PATH rules var SO_RULE_PATH so_rules var PREPROC_RULE_PATH preproc_rules var WHITE_LIST_PATH rules var BLACK_LIST_PATH rules dynamicpreprocessor directory /usr/lib64/snort-2.9.9.0_dynamicpreprocessor dynamicengine /usr/lib64/snort-2.9.9.0_dynamicengine/libsf_engine.so dynamicdetection directory /usr/lib64/snort_dynamicrules preprocessor http_inspect_server: server default preprocessor http_inspect_server: server 192.168.1.1 # todas las "include $RULE_PATH" las descomente include $PREPROC_RULE_PATH/preprocessor.rules \ include $PREPROC_RULE_PATH/decoder.rules \ include $PREPROC_RULE_PATH/sensitive-data.rules \ include threshold.conf
shell# snort -c /etc/snort/snort.conf -T ... ... Snort successfully validated the configuration! Snort exiting
shell# cat /etc/snort/rules/local.rules alert icmp any any -> any any (msg:"Probando PING Alerts"; sid:100000001; rev:1;)
shell# snort -c /etc/snort/snort.conf -A console
otrapcdelared@ ping ip.servi.dor.snort
Y no obtengo visualmente en consola alertas y mucho menos en /var/log/snort/
Porque no funciona ? que hago mal ?... Ya lei un monton de manuales de inicio a fin y no veo que este haciendo mal las cosas !
Saludos !
-
angel jauregui