Atualmente estou tentando configurar o snort no meu servidor ubuntu remoto (xenial). Por isso eu instalei snort via
apt install snort
e configurado de acordo com a minha rede.
Minha máquina tem um ip estático 176.9.103.111 e uma máscara de rede de /27 .
Assim, configurei meu HOME_NET para 176.9.103.97/27 , pois .97 é o começo da minha sub-rede, enquanto .127 é o endereço de broadcast. O serviço inicia muito bem e nenhum erro é dado, no entanto, ao tentar testar meu serviço snort por portscanning com nmap , o IDS não me alerta.
Meu snort.conf é padrão, exceto pela variável HOME_NET mencionada anteriormente, que defini manualmente.
Ao verificar o status do serviço, o ubuntu me diz que está ativo e em execução e também está ouvindo a interface correta e configurando o% corretoHOME_NET
/usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/snort.conf -S HOME_NET=[176.9.103.111/32] -i eth0
O arquivo de log /var/log/snort/snort.log é binário, então tentei abri-lo com snort -r , o que levou ao seguinte:
root@guybrush /var/log/snort # snort -r snort.log
Running in packet dump mode
--== Initializing Snort ==--
Initializing Output Plugins!
pcap DAQ configured to read-file.
ERROR: Can't initialize DAQ pcap (-1) - unknown file format
Fatal Error, Quitting..
Alguém sabe por que meu IDS está ativo e em execução, mas não está me alertando quando eu inicio o nmap? O que estou perdendo aqui?
Eu testei isso em um ambiente Linux KALI antes de aprender sobre a configuração do snort e que funcionou lindamente. Lá eu configurei uma VM rodando Kali e snort e quando rodava o nmap contra o endereço IP das máquinas virtuais da minha máquina host, o IDS me disse que havia um possível ataque, então eu estava confiante o suficiente para tentar configurá-lo em um sistema ativo.
Qualquer ajuda é apreciada.
Tags networking scanner snort