hay dos preprocessors del Snort especialistas en detectar escaneos y
falsificaciones de mac en el caso de los ataques por arpspoof, estos son
sfportscan y arpspoof, ambos bien configurados deberían detectarte
cualquier cosa rarita en la red por esa línea.....Snort es una
herramienta muy potente, si bien su configuración no es muy intuitiva a
primera vista, constituye un NIDS de referencia en ambientes
empresariales en el mundo gnu/linux...el límite es la capacidad q tengas
para configurarlo e implementarlo correctamente: desde detección de
payloads enviados por metasploit hasta cobertura a servidores web,
correo, ssh, paquetes fragmentados con nmap, etc ..detecta y toma acción
practicamente de cualquier cosa q pase por las interfaces de red de tu
firewall q es donde normalmente se monta o en una pc dentro de tu dmz..
apt-get install snort-doc
y en tu gestor de archivos /usr/share/doc/snort-doc/
ahi tendrás una guía oficial bastante detallada al menos a un nivel de
implementación mínimo y funcional.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l