BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

El snort me tiene mania.

Stendall

He instalado el snort con soporte de mysql y el acidlab, la base de datos mysql me la utilizan el snort y el acidlab sin ningún problema, pero en el snort solo veo las siguientes alertas:
#39-(1-40) BAD TRAFFIC loopback traffic 2004-02-22 16:57:13 127.0.0.1:80 62.42.xxx.xxx:1361 TCP
Así hasta unas 107 en cosa de una hora, me he escaneado desde otro ordenador, pero no aparece ni rastro en el snort, tambien he deshabilitado el portsentry por si estuvise bloqueando los intentos de acceso, el firewall tampoco es por que tambien lo he parado, escaneado desde otro ordenador remoto y vuelto a arrancar.

La configuracion principal es como sigue:
_______________________________________________
#snort.conf
var HOME_NET 192.168.1.0/24
var EXTERNAL_NET any
var SMTP $HOME_NET
var HTTP_SERVERS $HOME_NET
var SQL_SERVERS $HOME_NET
var DNS_SERVERS $HOME_NET
output database: log, mysql, user=xxxx password=xxxx dbname=snort host=localhost
_______________________________________________
#snort.debian.conf

DEBIAN_SNORT_STARTUP=boot
DEBIAN_SNORT_HOME_NET="192.168.1.0/24"
DEBIAN_SNORT_OPTIONS=" -i eth1 -p"
DEBIAN_SNORT_STATS_RCPT="xxxxx"
DEBIAN_SNORT_STATS_TRESHOLD="1"
_______________________________________________

El interface de la red local es eth0 y el de internet eth1.

La configuracion del acidlab está bien por que las alertas que veo con el son las mismas que se ven en la base de datos y las mismas que se ven en /var/log/snort/alert:
[**] [1:528:2] BAD TRAFFIC loopback traffic [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
02/22-18:17:31.675191 127.0.0.1:80 -> 62.42.xxx.xxx:1388
TCP TTL:121 TOS:0x0 ID:30287 IpLen:20 DgmLen:40
***A*R** Seq: 0x0 Ack: 0x2A4F0001 Win: 0x0 TcpLen: 20

Bueno, a ver si a alguien se le ocurre que puede ser, si hace falta alguna configuracion mas solo pedirlo.

-= Un saludo =-

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
anthrax

Vamos a ver si arreglamos tu problema, que el snort no deja de ser un sniffer medio inteligente :P

1) ¿ Que versión usas del snort?, podria ser un bug de una versión algo antigua.
2) ¿ Has probado de no incluir esa regla?
3) Si no activas el preprocessor del portscan, diria que no te detectara ningun escaneo ;)
4) ¿ has probado de crearte tú mismo un sencilla regla, para por ejemplo detectar el intento de conexion al puerto del telnet (por decir algo)?, asi podrias comprobar si te funciona bien el snort.

[editado completamente]

Saludos 8)
P.D: Será cosa de debian, esto en una mandrake no pasa :P

🗨️ 2
Stendall

Estoy probando con la que viene con la woody, si le hecho a andar decentemente pondré la ultima version.
¿A que regla te refieres?.

-= Un saludo =-

Editado.
Todo lo referente al preprocesador en el snort.conf:
preprocessor frag2
preprocessor stream4: detect_scans
preprocessor stream4_reassemble
preprocessor http_decode: 80 -unicode -cginull
preprocessor rpc_decode: 111
preprocessor bo: -nobrute
preprocessor telnet_decode
preprocessor portscan: $HOME_NET 4 3 portscan.log

Como ves está activado, en cuanto a la regla que comentabas, la de el mal trafico local, lo que quiero es ver los intentos de acceso, no quitar de en medio esos errores que a fin de cuentas los puedo filtrar con el acid y tampoco me estorban ;).

🗨️ 1
anthrax

¿A que regla te refieres?.

Es obvio, a esta :P :

BAD TRAFFIC loopback traffic

A lo que me referia es que la comentes del fichero de reglas que (supongo) que se llamará "bad traffic". No tengo un snort a mano :P

Saludos 8)

undertow

mira lo siguiente:
corta el snort-mysql, entra en el acid desde el navegador, borrale todas las alertas y arranca de nuevo el snort-mysql y mira aver si te añade esas reglas de nuevo o ya funciona correcto.

🗨️ 26
Stendall

Hecho, luego le hago un nmap en toda regla desde el ordenador de Semeolvido(-sS y -sT), y no sale ni una sola alerta en el acid, por supuesto el nmap me encuentra los puertos que deberia abiertos.

Lo dicho, me tiene mania.

-= Un saludo =-

🗨️ 25
undertow

que distro?
tienes este paquete:
snort-rules-default

si lo tienes mete en la config por ejemplo el de ftp:
include ftp.rules
con ese texto.
Una vez que tengas eso reinicia el snort-mysql y conectate a un ftp local y ejecuta uan vez conectado site exec
el snort te tiene que cantar un exploit de ftp

🗨️ 24
Stendall

Woody por supuesto, estamos hoy que no atinamos ninguno ;).

-= Un saludo =-

Editado.
Este va a ser el post de las ediciones XD.

include bad-traffic.rules
include exploit.rules
include scan.rules
include finger.rules
include ftp.rules
include telnet.rules
include smtp.rules
include rpc.rules
include rservices.rules
include dos.rules
include ddos.rules
include dns.rules
include tftp.rules
include web-cgi.rules
include web-coldfusion.rules
include web-frontpage.rules
include web-iis.rules
include web-misc.rules
include web-attacks.rules
include sql.rules
include x11.rules
include icmp.rules
include netbios.rules
include misc.rules
include attack-responses.rules

y por supuesto he instalado las reglas de deteccion, es más, el snort no se deja instalar sin ellas ;).

include local.rules

🗨️ 1
undertow
Stendall

He comentado la linea de bad traffic y he vuelto a hacer un escaneo remoto.
El acid y el snort ni se pispan, y lo mismo con el site exec de el servidor de ftp.

Yo creo que es que por alguna extraña razon me esta filtrando el trafico por ips, es como si no escuchase en la ip del interface, sin embargo hago un ps aux | grep snort y veo que le pasa correctamente la opcion -i eth1, y en el acid en el sensor sale la ip publica del interface.

¿Alguien dá más?.

-= Un saludo =-

🗨️ 21
undertow
🗨️ 20
Stendall
🗨️ 19
anthrax
🗨️ 18
Stendall
🗨️ 17
anthrax
🗨️ 16
Stendall
🗨️ 15
anthrax
okahei
BocaDePez
BocaDePez
🗨️ 12
Stendall
🗨️ 11
anthrax
🗨️ 10
Stendall
🗨️ 9
undertow
🗨️ 6
Stendall
🗨️ 4
anthrax
🗨️ 3
Pridebowl
🗨️ 1
anthrax
okahei
🗨️ 1