Qualcuno sa come impronte digitali di un IPS? c'è qualche strumento disponibile per fare il lavoro? Voglio rilevare snort nella mia rete. Gradirei qualsiasi tipo di aiuto.
Configurato correttamente, non dovresti essere in grado di rilevare lo snort. "Correttamente" significa in una porta non configurata / senza indirizzo assegnato in modalità promiscua. Come menzionato dal PTW-105, se lo snort è configurato per inviare i reset allora forse puoi rilevarlo, ma più probabilmente, ti accorgerai che qualcosa ti stava bloccando. Lo stesso vale se è in modalità inline.
Due cose che posso pensare se volessi davvero sapere che era snort (diversamente da altri IDS / IPS) sarebbe se 1) snort fosse configurato per fare il logging ad un altro host e tu potessi vederlo traffico o 2) potresti inviare pacchetti che sai corrisponderebbero al set di regole di snort e se hai abbastanza hit, specialmente per cose non standard o se i tuoi pacchetti fossero così specifici che probabilmente si limiterebbero al rilevamento di snort, potresti sapere in questo modo. Ma sarebbe rumoroso dato che avevi intenzionalmente attivato gli allarmi e se lo snort non era configurato in alcun tipo di modalità di blocco attiva non so come si possa sapere se non un sistema che ha scaricato dati di avviso sul filo in un punto sei stato in grado di vedere.
Grazie,
~ Patrick
Non ho molta familiarità con lo snort, ma ho esperienza con altri prodotti IPS.
Come citato da @ edvinas.me, se snort è in esecuzione in modalità solo IDS, è probabile che non sarà possibile impronte digitali. Alcuni prodotti IDS come FireEye vengono venduti come prodotti solo IDS quando vengono eseguiti su una porta SPAN, ma sono in grado di eseguire ripristini di connessione se configurati come tali. Questo potrebbe essere un modo per scoprire attivamente un prodotto IDS / IPS.
Molti prodotti che sono prodotti IPS in piena regola eseguiranno un DROP su una connessione per impostazione predefinita, piuttosto che un DENY su una connessione in entrata, rendendo così difficile la scoperta e l'impronta digitale.
Non ce l'ho di fronte a me, ma penso che la distro linux di Kali abbia alcuni strumenti fissi per l'identificazione delle impronte digitali IDS / IPS, firewall, WAF e altre cose. Può valere la pena dare un colpo a questi se stai giocando nel tuo ambiente.
Leggi altre domande sui tag ids snort fingerprinting