viernes, marzo 30, 2007
SPADE y Snort 2.6.x
Snort es un IDS - sistema de detección de intrusiones - con el que he estado trabajando últimamente. Al estar trabajando en un despliegue existente de Ossim, el cual utiliza Snort como IDS, pero en su versión 2.4.x. Esta lleva integrado SPADE, un preprocesador que se encarga de detectar anomalías en el tráfico. SPADE es un proyecto creado originalmente por James Hoagland de Silicon Defense, pero que desapareció hace tiempo. Total, no es que esté muy mantenido, pero al menos las fuentes del trabajo en cvs están SPADEdisponibles. Con un poco de paciencia, y dado que el código de SPADE es bastante modular, decidí ver si era capaz de añadirlo a la versión actual de Snort, cosa que resultó muy sencilla. He hecho un parche que aplicado a la versión actual de Snort (2.6.1.3), permite añadirle SPADE. Eso sí, el código de SPADE no está auditado tanto como Snort. He probado si el funcionamiento es correcto y genera alarmas de manera adecuada, y parece que todo OK. No hay que olvidar consultar el Usage.spade para ver como se configura el preprocesador. Si tengo algo de tiempo, escribiré una anotación sobre el tema.
Suscribirse a:
Enviar comentarios (Atom)
3 comentarios:
Hola mi nombre es Laura y estoy intentando utilizar el snort con el spade pero me es imposible. Lo he intentado con varias versiones pero nada. ¿Cómo conseguiste que funcionara? Bajaste el snort-2.6.1.3, lo descompilaste, parcheaste el parche que creaste y ¿luego? ¿Qué .conf utizaste? ¿Me podrías mandar los archivos que usaste, por favor? Lo necesito para recopilar información para un proyecto que estoy haciendo en la universidad de Stuttgart. Mi dirección es: lhe00005@gmail.com. Muchas gracias.
Tengo el parche adaptado para algunas versiones - aunque SPADE tiende a dar dolores de cabeza -. Tengo el parche para algunas versiones de Snort, que se aplica con un patch < fichero.diff.
Lo tengo que buscar en mi casa,cuando lo encuentre te lo mando.
Muchísimas gracias.
Publicar un comentario