No meu ultimo post eu comentei de como podemos utilizar o radvd para distribuir IPv6 em uma rede local utilizando as features de "router solicitation e router advertisement" do IPv6. Neste post vou mostrar como utilizar o snort para detectar essa atividade na rede.
Primeiramente seu snort precisa ser compilado com a opção --ipv6. para verificar se o snort instalado na máquina esta com suporte a IPv6 basta executar o "snort -V" se aparece "IPv6" ao lado da versão do snort então ele tem suporte.
Criando variável de rede.
Acesse o arquivo de configuração do snort (snort.conf) e adicione a variável "IPV6_ROUTER"
---
var IPV6_ROUTER [fe80:0000:0000:0000:0a00:27ff:fea0:9834]
---
Lembrando que o endereço IPv6 dessa variável deve ser configurada com o endereço de link local da placa de rede (fe80:: ....) do seu router IPv6, caso você não possua um router IPv6 deixe a variável com valor "any".
---
Agora adicione as seguintes regras ao seu pool de regras do snort:
---
alert icmp !$IPV6_ROUTER any -> $HOME_NET any (msg:"ICMP IPV6 Router Advertisement"; icode:0; itype:134;sid:1000001;)
alert icmp !$IPV6_ROUTER any -> $HOME_NET any (msg:"ICMP IPV6 Multicast Router Advertisement"; icode:0; itype:151;sid:1000002;)
---
Pronto, agora é só reiniciar o snort e esperar pelos logs... heheh
By CleBeeR
