Hola!
Estoy tratando de realizar una practica de laboratorio con SNORT corriendo como IPS, todo en entorno virtual VMWare Workstation. EL problema es que no consigo que funcione la regla REJECT, y que bloquee paquetes (Drop tampoco funciona)
Lo he montado de la siguiente manera:
PC Atacante eth0 ======== eth0- PC SNORT -eth1 ======= eth1 VICTIMA
eth0 = vmnet2 - 2.0/24 eth1= vmnet3 - 3.0/24
Todavia no puedo hacer ping entre Atacante y Victima, por lo que activo el ip_forwarding y entonces si que funciona
Creo la regla personalizada con REJECT para que bloquee paquetes ICMP a la victima
"reject icmp any any -> IP_VICTIMA any (msg:"Se esta realizando PING a victima";sid;5678923;rev:1)"
Reinicio snort, y lanzo una instancia en modo inline con:
snort -Q --daq afpacket -i eth0:eth1 -A console
Cuando lanzo el PING, snort lo detecta y salta el mensaje de alerta, pero no bloquea los paquetes y el PING sigue funcionando...
Donde esta el error?
Gracias de antemano!!
