tag:blogger.com,1999:blog-271207292388274566.post8362756092745203991..comments2023-07-05T12:25:15.843-03:00Comments on IT Freek Zone: Customizando SnortV3kt0rhttp://www.blogger.com/profile/07975155976192856330noreply@blogger.comBlogger23125tag:blogger.com,1999:blog-271207292388274566.post-767184209187224592012-12-04T20:55:12.855-03:002012-12-04T20:55:12.855-03:00Primero que nada gracias por tu nombre. En otro co...Primero que nada gracias por tu nombre. En otro comentario de otro post comente que lo estoy implementando para una red inalambrica (relativamente grande)donde todos los AP llegan a una controladora y de ahi a un Switch (donde esta el port-mirrorring) con dhcp, por tal motivo no utilizare arpwatch, porque tengo entendido que compara mac con ip, ni OSSEC. Se me olvido comentarte que ya habia hecho pruebas con nmap para el escaneo, pero no me arrojo resultados. <br />Hare las pruebas con las demás herramientas que me sugeriste. Nuevamente gracias por los post y sobre todo por contestar. Anonymoushttps://www.blogger.com/profile/11114788822944567314noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-54593265124944750912012-12-03T15:00:37.734-03:002012-12-03T15:00:37.734-03:00Hola Jose. Me alegra mucho que te hayan servido lo...Hola Jose. Me alegra mucho que te hayan servido los artículos, es muy bueno saber que de alguna forma logro ayudar a través de los mismos. Sería interesante leer tu tesis una vez la termines =)<br />Mi nombre es Victor H. Batista.<br />Para probar la funcionalidad de OSSIM podes hacer pruebas con nmap (escaneo de ports, o usando los scripts), de exploits con Metasploit o Nessus (u OpenVAS). También podes hacer cambios de MACs en las máquinas (activa arpwatch), modificar archivos de sistema (eso activa OSSEC).<br />Mirando la funcionalidad de cada una de las herramientas podes ir viendo qué ataque la activará.<br />Saludos!d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-37536020247484961872012-12-03T14:32:16.224-03:002012-12-03T14:32:16.224-03:00Que buenos articulos d3m4s1@d0v1v0, gracias por es...Que buenos articulos d3m4s1@d0v1v0, gracias por este y los demás, me han sido de mucha utilidad para mi trabajo de tesis de la licenciatura. Quiero ponerte como referencia para darte los creditos correspondientes, pero no veo tu nombre por ningún lado. ¿Qué pruebas me recomiendas (principalmente de ataques) para comprobar la funcionalidad de OSSIM?Anonymoushttps://www.blogger.com/profile/11114788822944567314noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-15504251715932602902012-09-14T12:46:10.816-03:002012-09-14T12:46:10.816-03:00Bravo!!!!!!Bravo!!!!!!ESSTAMPIDAhttps://www.blogger.com/profile/14366056329312185000noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-45535166915283238202012-07-17T09:29:49.902-03:002012-07-17T09:29:49.902-03:00Muy bueno, d3m4s1@d0v1v0!Muy bueno, d3m4s1@d0v1v0!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-83132056454681858392011-12-14T08:42:35.539-03:002011-12-14T08:42:35.539-03:00Si hay otros segmentos de red cuyo tráfico no es v...Si hay otros segmentos de red cuyo tráfico no es visible para el snort que instalaste, vas a tener que instalar snorts en cada segmento.<br />Espero que no te ofendas, pero de la consultoría privada es de lo que vivo, así que si queres podemos arreglar un precio para lo que necesitás hacer. Me encanta compartir conocimientos en el blog, porque creo que el conocimiento debe estar disponible para todo el mundo de forma gratuita, pero lo que estás necesitando es un trabajo específico.<br />Saludos!d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-67763003234337724962011-12-13T22:03:51.330-03:002011-12-13T22:03:51.330-03:00d3m4s1 gracias por tu comentario, si ya cheque lo ...d3m4s1 gracias por tu comentario, si ya cheque lo que me comentas,.... si pasa trafico por la red, si pasa, el problema que tengo es para la salida a los otros segmentos que tengo en mi red,.... si tienes las disponibilidad no se si me podrias dar tu email y te muestro la topologia y como configure snort a ver si me puedes ayudar en donde estar mi errorAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-20336167977396712832011-12-13T14:32:54.962-03:002011-12-13T14:32:54.962-03:00Si tenes proxy, los pedidos web de cada máquina sa...Si tenes proxy, los pedidos web de cada máquina salen con IP destino la IP del proxy y con puerto destino el puerto del Proxy, luego el proxy envía con su IP como origen los pedidos hacia Internet.<br />Deberías estar viendo aunque sea ese tráfico saliente del proxy, eso tampoco lo ves? si no lo ves es porque los datos no están pasando por el host donde tenes snort, o bien porque hay alguna configuración mal en snort. Ejecutá snort en modo sniffer para ver si el tráfico que deseas ver está realmente pasando por el host donde tenes instalado snort.<br />Te aconsejo que corras el script que dejé en este artículo si queres ver cuáles son las IPs origen de los pedidos Web, sino siempre verás la IP del proxy en las alertas.d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-68444990048259866732011-12-13T13:07:55.867-03:002011-12-13T13:07:55.867-03:00Tengo una pregunta: implemente Snort con mysql y A...Tengo una pregunta: implemente Snort con mysql y ACIDBASE, ya esta funcional, el detalle es que tengo servidores proxy para salida a internet y no me esta permitiendo captar el trafico de la red, me dicen que pruebe agregando al snort.conf otros puertos aparte del 80 que viene por default.<br />Alguien me podrìa ayudar, y tambien si alguien hasta ahorita el snort con gusto se los paso.<br />En una red si proxy funciona bien.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-693312837091184862011-12-05T15:36:08.487-03:002011-12-05T15:36:08.487-03:00Estás teniendo errores muy básicos de creación de ...Estás teniendo errores muy básicos de creación de reglas de snort. El mensaje es bastante claro al respecto, tenés que poner un SID a la regla. Toma alguna regla como ejemplo y verás que es necesario especificar el campo sid, que es el identificador que utiliza snort para la regla. El mismo debe ser único y no debe colisionar con alguno existente.<br />Te recomiendo que leas el manual de Snort: http://www.snort.org/assets/140/snort_manual_2_8_6.pdf<br />Saludos.d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-18002771501267531472011-12-05T14:51:44.197-03:002011-12-05T14:51:44.197-03:00gracias por la ayuda anterior ahora no me aparece ...gracias por la ayuda anterior ahora no me aparece ese error pero me aparece un nuevo error es el siguiente<br />FATAL ERROR: /etc/snort/rules/facebook.rules(1) Each rule must contain a rule sid<br />ojala puedas ayudarme ahora..<br />te lo agradecere un montonkokehttps://www.blogger.com/profile/12572281787425340197noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-51757503651196296242011-12-05T14:29:59.917-03:002011-12-05T14:29:59.917-03:00La regla está mal armada, fijate que tenes un pará...La regla está mal armada, fijate que tenes un parámetro de más en el source:<br />$EXTERNAL_NET any $HTTP_PORTS<br />Ahí sobra un parámetro, el formato es:<br />ALERT tcp <IP fuente> <Port fuente> -> <IP destino> <Port destino><br />Por lo que veo, estas capturando la respuesta del servidor de facebook a tu red. Borrá el any que está luego de $EXTERNAL_NET para que quede así:<br />ALERT tcp $EXTERNAL_NET $HTTP_PORTS ->$HOME_NET any (msg:"web prohbida"; content:"http://www.facebook.com"; nocase; flow:to_client, established;)<br />Con eso la regla no debería arrojar más error.d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-48167331743834363612011-12-05T14:21:36.890-03:002011-12-05T14:21:36.890-03:00me manda el siguiente error en una de las regras:
...me manda el siguiente error en una de las regras:<br />/etc/snort/rules/facebook.rules(1)Illegal direcction specifier: $HTTP_PORTS<br />la regla es la siguiente:<br />ALERT tcp $EXTERNAL_NET any $HTTP_PORTS ->$HOME_NET any (msg:"web prohbida"; content:"http://www.facebook.com"; nocase; flow:to_client, established;)<br />la mayor parte del codigo lo copie de internetkokehttps://www.blogger.com/profile/12572281787425340197noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-33602613144803763642011-12-05T13:54:54.687-03:002011-12-05T13:54:54.687-03:00ya lo encontre pero no se levanta el servicio.. me...ya lo encontre pero no se levanta el servicio.. me aparece failkokehttps://www.blogger.com/profile/12572281787425340197noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-64789876411984011542011-12-05T13:31:50.987-03:002011-12-05T13:31:50.987-03:00que tengo que poner en el script /etc/init.d/snort...que tengo que poner en el script /etc/init.d/snort_eth0??? porq no aparecekokehttps://www.blogger.com/profile/12572281787425340197noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-18870067893402683312011-12-05T08:14:38.070-03:002011-12-05T08:14:38.070-03:00Hola koke,
si estás utilizando OSSIM fijate que de...Hola koke,<br />si estás utilizando OSSIM fijate que debes tener un script en /etc/init.d denominado snort_eth0 o similar. Tenes que utilizar el correspondiente a la placa que utilices para monitoreo. De esta forma, debes ejecutar, por ejemplo, /etc/init.d/snort_eth0 start<br />Si te arroja algún error, compartilo en el comentario y veo si te puedo ayudar.<br />En OSSIM las detecciones de Snort aparecen en la sección Analysis -> SIEM. También se utiliza Snort en las correlaciones, generando alarmas en Incidents -> Alarms.<br />Suerte!d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-83893733487987953682011-12-03T14:04:03.819-03:002011-12-03T14:04:03.819-03:00tengo un problema.
no puedo arrancar snort.
voy al...tengo un problema.<br />no puedo arrancar snort.<br />voy al directorio <br />/etc/init.d/snort y aplico start<br />pero me arroja un error y no arranca<br />necesito q cuando la ip 193.168.x.x ingrese a la pagina facebook snort me da una alerta <br />ademas quiisera saber en que parte de la interfaz web de ossim muestra este reporte<br />ojala puedas ayudarme<br />mi correo es jorge.avila.vidal@gmail.comkokehttps://www.blogger.com/profile/00820493185429946290noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-69515292220149511012011-12-03T14:02:15.867-03:002011-12-03T14:02:15.867-03:00tengo un problema.
no puedo arrancar snort.
voy al...tengo un problema.<br />no puedo arrancar snort.<br />voy al directorio <br />/etc/init.d/snort y aplico start<br />pero me arroja un error y no arranca<br />necesito q cuando la ip 193.168.x.x ingrese a la pagina facebook snort me da una alerta <br />ademas quiisera saber en que parte de la interfaz web de ossim muestra este reporte<br />ojala puedas ayudarmekokehttps://www.blogger.com/profile/12572281787425340197noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-52402566873975335312011-11-25T08:30:49.016-03:002011-11-25T08:30:49.016-03:00Necesitaría que especifiques un poco qué problema ...Necesitaría que especifiques un poco qué problema estás teniendo con OSSIM.d3m4s1@d0v1v0http://itfreekzone.blogspot.comnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-35694959801354234012011-11-24T21:00:03.074-03:002011-11-24T21:00:03.074-03:00necesito ayuda con ossimnecesito ayuda con ossimAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-45273116616845445482010-09-27T15:56:14.702-03:002010-09-27T15:56:14.702-03:00Hola, muy bueno el articulo! No se si me puedes ay...Hola, muy bueno el articulo! No se si me puedes ayudar si sabes como cortar la conexion? O trabajar snort como inline? Es decir tomar ademas de detectar poder prevenir!Unknownhttps://www.blogger.com/profile/04180501789500967110noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-27746809112117363212010-08-24T19:32:06.679-03:002010-08-24T19:32:06.679-03:00Me alegra que te resultara interesante.Me alegra que te resultara interesante.V3kt0rhttps://www.blogger.com/profile/07975155976192856330noreply@blogger.comtag:blogger.com,1999:blog-271207292388274566.post-47307389824574730012010-08-23T23:33:31.540-03:002010-08-23T23:33:31.540-03:00Muchas Gracias d3m4s1@d0v1v0 muy buen articulo com...Muchas Gracias d3m4s1@d0v1v0 muy buen articulo completisimoMagnoBalthttps://www.blogger.com/profile/14864169075483637737noreply@blogger.com