Ho installato Snort 2.9.7.0 e non rileva la maggior parte degli attacchi, come le scansioni delle porte nmap, il download di file exe, l'apertura di documenti contenenti la parola chiave "root".
Uso Snort insieme a Pulled Pork and Barnyard2. Tutto sembra funzionare e posso vedere gli avvisi sul sito web che è alimentato da BASE.
Il problema è che posso attivare solo 3 avvisi diversi. Tutto il resto non viene semplicemente rilevato. Voglio ovviamente essere in grado di ricevere avvisi quando qualcuno esegue la scansione della porta, cercando di tentare di eseguire un attacco DDOS e così via. Questo non posso innescare. Devo abilitare qualcosa da qualche parte? ...
Ho creato il mio file local.rules, che contiene una singola regola: monitoraggio dei pacchetti echo ICMP.
Pulled Pork mostra che ha scaricato oltre 20000 regole e sono abilitate oltre 5000 regole. Questo può essere visto nel file snort.rules, che ho incluso nel file snort.conf.
I 3 avvisi che sono in grado di attivare sono:
- stream5: superata la soglia del segmento piccolo TCP (questo è dovuto al mio vecchio Win SCP client)
- ssh: mancata corrispondenza del protocollo (questo è dovuto al mio vecchio client Putty)
- Test ICMP (la mia regola da local.rules)
Il mio snort.conf può essere trovato sul seguente sito web (dovevo spostarlo lì, perché ho raggiunto la lista dei caratteri massimi): link
Il mio pullpork.conf può essere trovato sul seguente sito web: link
Il mio local.rules ha questo aspetto (che funziona):
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)