[CentOS-es] SNORT IDS no me captura paquetes !
angel jauregui
darkdiabliyo en gmail.com
Jue Nov 2 05:44:09 UTC 2017
Buen dia.
Levante SNORT para hacer unas practicas, valide la confirguacion y todo
bien, lo corro y marca OK... Pero tras checar el LOG no me lanza las
alertas :(...
Les paso info de como lo tengo, solo indicare los elementos que cambie y
descomente:
shell# cat /etc/snort/snort.conf
ipvar HOME_NET 192.168.1.0/24
ipvar EXTERNAL_NET !$HOME_NET
var RULE_PATH rules
var SO_RULE_PATH so_rules
var PREPROC_RULE_PATH preproc_rules
var WHITE_LIST_PATH rules
var BLACK_LIST_PATH rules
dynamicpreprocessor directory /usr/lib64/snort-2.9.9.0_dynamicpreprocessor
dynamicengine /usr/lib64/snort-2.9.9.0_dynamicengine/libsf_engine.so
dynamicdetection directory /usr/lib64/snort_dynamicrules
preprocessor http_inspect_server: server default
preprocessor http_inspect_server: server 192.168.1.1
# todas las "include $RULE_PATH" las descomente
include $PREPROC_RULE_PATH/preprocessor.rules \
include $PREPROC_RULE_PATH/decoder.rules \
include $PREPROC_RULE_PATH/sensitive-data.rules \
include threshold.conf
shell# snort -c /etc/snort/snort.conf -T
...
...
Snort successfully validated the configuration!
Snort exiting
shell# cat /etc/snort/rules/local.rules
alert icmp any any -> any any (msg:"Probando PING Alerts"; sid:100000001;
rev:1;)
shell# snort -c /etc/snort/snort.conf -A console
otrapcdelared@ ping ip.servi.dor.snort
Y no obtengo visualmente en consola alertas y mucho menos en /var/log/snort/
Porque no funciona ? que hago mal ?... Ya lei un monton de manuales de
inicio a fin y no veo que este haciendo mal las cosas !
Saludos !
--
M.S.I. Angel Haniel Cantu Jauregui.
Celular: (011-52-1)-899-871-17-22
E-Mail: angel.cantu en sie-group.net
Web: http://www.sie-group.net/
Cd. Reynosa Tamaulipas.
Más información sobre la lista de distribución CentOS-es