Foros del Web » Administración de Sistemas » Seguridad y redes »

snort regla duda

Estas en el tema de snort regla duda en el foro de Seguridad y redes en Foros del Web. Trato de crear una lista de las direcciones IP de los servidores de correo que los usuarios de una LAN ocupan para transacción de correos ...
  #1 (permalink)  
Antiguo 19/12/2006, 13:14
 
Fecha de Ingreso: abril-2005
Mensajes: 208
Antigüedad: 19 años, 7 meses
Puntos: 1
snort regla duda

Trato de crear una lista de las direcciones IP de los servidores de correo que los usuarios de una LAN ocupan para transacción de correos mediante SMTP.

Mi regla en el archivo de regla que he creado es:

log tcp any any -> <mi direccion> 25 (msg:"Protocolo SMTP"; flags:AP;flow:from_client,stablished;).

Creo que esta regla funciona pero como hacer para generar solo la lista de direcciones, otra duda que me asalta es si es necesario especificar el puerto en el origen.

Saludos,

Logout.
  #2 (permalink)  
Antiguo 19/12/2006, 15:05
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años
Puntos: 655
Re: snort regla duda

Intenta revisando un poco en este filtro que usé en google.

reglas snort
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL
  #3 (permalink)  
Antiguo 19/12/2006, 15:21
 
Fecha de Ingreso: abril-2005
Mensajes: 208
Antigüedad: 19 años, 7 meses
Puntos: 1
Re: snort regla duda

Gracias BrujoNic, buena parte de estos ya los he revisado, veré que puedo encontrar.

Salu2
  #4 (permalink)  
Antiguo 20/12/2006, 05:13
Avatar de Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Re: snort regla duda

Para eso creo que es mejor usar windump. Con los parámetros adecuados te creará un archivo con las direcciones de los servidores que estais usando.

Por ejemplo con "dst port 25". si quiere que el log tenga la mínima información posible para tener solo las direcciones:

- n (para que no resuelva los nombre de host)
- t (elimina las marcas de tiempo)
- q (salida rápida con la informción más básica)

De esta forma yo lo haría de esta forma

c:\windump -i(interface) -qtn dst port 25 > salida.txt


Sobre tu duda te diré que no es necesario especificar el puerto en origen.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 00:59.