
03/12/2015, 04:37
|
| | Fecha de Ingreso: diciembre-2015 Ubicación: Pais Vaco
Mensajes: 1
Antigüedad: 9 años, 3 meses Puntos: 0 | |
Proyecto de seguridad Snort IPS Hola!
Estoy tratando de realizar una practica de laboratorio con SNORT corriendo como IPS, todo en entorno virtual VMWare Workstation. EL problema es que no consigo que funcione la regla REJECT, y que bloquee paquetes (Drop tampoco funciona)
Lo he montado de la siguiente manera:
PC Atacante eth0 ======== eth0- PC SNORT -eth1 ======= eth1 VICTIMA
eth0 = vmnet2 - 2.0/24 eth1= vmnet3 - 3.0/24
Todavia no puedo hacer ping entre Atacante y Victima, por lo que activo el ip_forwarding y entonces si que funciona
Creo la regla personalizada con REJECT para que bloquee paquetes ICMP a la victima
"reject icmp any any -> IP_VICTIMA any (msg:"Se esta realizando PING a victima";sid;5678923;rev:1)"
Reinicio snort, y lanzo una instancia en modo inline con:
snort -Q --daq afpacket -i eth0:eth1 -A console
Cuando lanzo el PING, snort lo detecta y salta el mensaje de alerta, pero no bloquea los paquetes y el PING sigue funcionando...
Donde esta el error?
Gracias de antemano!! |