Continuando con los conceptos básicos y configuración de Snort iniciados en la entrada anterior, se continua indicando las opciones de configuración y características mas interesantes de Snort.
Lectura de Ficheros de Paquetes (PCAP)
Con Snort es posible leer los registros de Log y paquetes generados de una ejecución anterior en lugar de ejecutar Snort utilizando una interfaz de red, de esta forma es posible analizar los paquetes como si estos vinieran directamente de la red. Para este fin existen una serie de opciones que pueden ser utilizadas como argumentos en linea de comandos:
-r: Lectura de un fichero simple.
| >snort -A console -c /etc/snort/snort.conf -r /home/adastra/logs/snort.log.1308252021 |
––pcap-single: Lectura de un fichero simple, funciona igual que la opción -r
| snort -A console -c /etc/snort/snort.conf ––pcap-single=»/home/adastra/logs/snort.log.1308252021″ |
––pcap-list: Lectura de una lista de PCAP indicados por parámetro.
| snort -A console -c /etc/snort/snort.conf ––pcap-list=»/home/adastra/logs/snort.log.1308252021″ |
––pcap-dir: Lectura recursiva de todos los ficheros de captura contenidos en el directorio especificado
| snort -A console -c /etc/snort/snort.conf ––pcap-dir=»/home/adastra/logs/» |
––pcap-filter : Permite especificar un filtro para la lectura de los ficheros PCAP, frecuentemente se acompaña con la opción –pcap-dir o –pcap-list
| snort -A console -c /etc/snort/snort.conf ––pcap-dir=»/home/adastra/logs/» ––pcap-filter=»*.pcap» |
Existen otras opciones que se pueden combinar con las que se han descrito anteriormente, a continuación se listan algunas de las mas interesantes.
-D: Permite a Snort ejecutarse como un proceso en segundo plano, o Demonio.
| >snort -A console -c /etc/snort/snort.conf -D Spawning daemon child…My daemon child 2697 lives…Daemon parent exiting |
––create-pidfile: Se encarga de crear un fichero PID asociado a la ejecución de Snort, inclusive aunque este no se ejecute en segundo plano.
| >snort -A console -c /etc/snort/snort.conf ––create-pidfile |
––pid-path: Permite declarar el directorio donde se debe crear el fichero PID de Snort.
| >snort -A console -c /etc/snort/snort.conf ––pid-path /home/adastra/pids |
Modos de Snort como IPS o IDS
Dependiendo de la configuración empleada en Snort, este puede ejecutarse como IPS y/o como IDS, se trata de establecer el modo de ejecución, algo que es realmente sencillo, sin embargo los resultados y el comportamiento de Snort dependiendo del modo de ejecución varia de forma drástica.
Inline
Este modo de ejecución va a permitir a Snort ejecutarse como un IPS, para conseguir esto se debe utilizar la opción “-Q” desde linea de comandos y la opción de configuración “config policy_mode:inline”
| >snort -A console -c /etc/snort/snort.conf -Q ––daq dump |
Passive
Con este modo, Snort funcionará como un IDS, para establecer este modo simplemente basta con definir la opción de configuración “config policy_mode:tap”
Inline-Test
Con este modo Snort se ejecutar en modo Inline pero sin afectar el trafico, es decir, sin borrar paquetes, en lugar de esto genera una alerta Wdrop (Would Drop). Para conseguir esto se utiliza la opción ––enable-inline-test y definir la opción de configuración correspondiente a “config policy_mode:inline_test”
| >snort -Q ––daq dump -A console -l /home/jdaanial/ ––enable-inline-test |
Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW) 