pre { background:#eeeeee; border:1px solid #A6B0BF; font-size:120%; line-height:100%; overflow:auto; padding:10px; color:#000000 } pre:hover { border:1px solid #efefef; } code { font-size:120%; text-align:left; margin:0;padding:0; color: #000000;} .clear { clear:both; overflow:hidden; }

Bienvenido al blog

Bienvenidos al blog de seguridad en sistemas

domingo, 6 de enero de 2013

Snort, DAQ y fichero PCAP en Security Onion

Después de algo más de tiempo de lo esperado, por fin estoy aquí de nuevo. En este último mes he estado trabajando para finalizar el paper de SANS y he conseguido pasar el examen de inglés, por fin estoy en B2 - Upper Intermediate (que ya era hora), ¡ahora rumbo del C1 - Advanced!

Para esta entrada voy a comentar una situación que se me dio durante las pruebas para el GOLD GCIA, donde tenia la necesidad de leer un fichero PCAP con un Snort 2.9.3 sobre la distribución all in one "Security Onion".

Debido al hecho de que Security Onion configura Snort para que por defecto emplee DAQ es imposible leer ficheros PCAP como entrada, puesto que DAQ solo permite leer datos desde una interfaz de red.

Para dar una solución a este problema es necesario copiar las plantillas del directorio "/etc/nsm/templates/snort" y del directorio "/etc/nsm/rules" en un único directorio, modificando el fichero de configuración por defecto de Snort las tres entradas que hacen referencia al uso del DAQ, tal y como se muestra a continuación:
# mkdir /dirdetrabajo
# cd /dirdetrabajo
# cp /etc/nsm/templates/snort/*.
# cp /etc/nsm/rules/* . 
# grep -v '^#\|^$\|daq' snort.conf >> snort-read.conf
A continuación ya se puede ejecutar Snort indicando con el flag "-r fichero" que lea el fichero PCAP como entrada en vez de una interfaz de red:
# snort -r fichero.pcap -c snort-read.conf -l /tmp/
Espero que os sirva de utilidad. Nos vemos en la próxima entrada.





Continuar...