Hola a todos,
Hola a todos, tengo un problemilla respecto a la definición de unas reglas en snort, reglas para listar la lista de nombre de dominios a los que acceden los usuarios de mi red (LAN INTERNA), listas de direcciones ip de las direcciones de los servidores que utilizan los usuarios para descargar con POP3 y envío de correo mediante SMTP. No trabajo con bases de datos los envío directamente a un directorio de logs.
La primera me imagino que con snort -dev sería suficiente para esto.
He investigado pero no tengo claro que hacer con las cabeceras o si debo especificar en las flags algo para la detección de estos puntos específicos.
Para la primera además he tomado en cuenta los ARP y el envío de DNS a través del puerto 53.
Alguna idea.
Saludos y gracias de antemano,
Logout.
