Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Una vez que los conjuntos de reglas deseadas estn habilitados, al lado establecer el intervalo de Snort para
comprobar si hay actualizaciones de los paquetes de reglas habilitadas. Utilice el desplegable Intervalo de
actualizacin (Update Interval) para elegir un intervalo de actualizacin de reglas. En la mayora de los casos
cada 12 horas es una buena opcin. La actualizacin de la hora de inicio puede ser personalizado si lo
desea. Introduzca el tiempo en horas y minutos en formato de 24 horas. La hora de inicio por defecto es
de 3 minutos despus de la medianoche hora local. As, con un intervalo de 12 -horas actualizacin seleccionada,
Snort comprobar la Snort VRT o emergentes Amenazas sitios web a los 3 minutos despus de la medianoche y 3
minutos despus del medioda de cada da para las actualizaciones de paquetes de reglas publicadas.
Haga clic en el botn CHECK para comprobar si hay actualizaciones de paquetes regla. Si hay un conjunto nuevo de
reglas envasados en el sitio web del proveedor, ser descargado e instalado. La determinacin se realiza
comparando el MD5 del archivo local con la del archivo remoto en el sitio web del proveedor. Si hay una
discrepancia, un nuevo archivo se descarga. El botn FORCE se puede utilizar la descarga de los paquetes de reglas
desde el sitio web del proveedor para forzar que sean las pruebas de hash MD5 cabo.
En la pantalla de abajo, las Snort VRT y Emerging Threats Open se han descargado correctamente. Se muestran el
hash MD5 calculado y la fecha de descarga de archivos y el tiempo. Tambin tenga en cuenta el ltimo tiempo de
actualizacin y el resultado se muestra en el centro de la pgina.
Una nueva pestaa Configuracin de la interfaz se abrir con l a siguiente interfaz disponible seleccionada
automticamente. La seleccin de la interfaz se puede cambiar utilizando la interfaz desplegable si se desea. Un
nombre descriptivo tambin se puede proporcionar para la interfaz. Otros parmetros de la interfaz tambin se
pueden establecer en esta pgina. Asegrese de hacer clic en el botn SAVE abajo en la parte inferior de la pgina
cuando haya terminado para guardar los cambios.
Despus de guardar, el navegador nos volver a la pestaa Snort Interfaces. Tenga en cuenta los iconos de
advertencia en la imagen de abajo muestra hay reglas han sido seleccionados para la nueva interfaz de Snort. Esas
reglas se configurarn siguiente. Haga clic en la
icono (que se muestra resaltado con un recuadro rojo en la
imagen de abajo) para editar la nueva interfaz de Snort nuevamente.
Si no se habilitaron las reglas Snort VRT, o si alguno de los otros paquetes de reglas se va a utilizar, a continuacin,
hacer la categora regla selecciones marcando las casillas de verificacin junto a las categoras de reglas para su uso.
Asegrese de hacer clic en Guardar cuando haya terminado para guardar la seleccin y construir el archivo de reglas
de utilizar Snort.
(que se muestra resaltado con un recuadro rojo en la imagen de abajo) para iniciar Snort en la interfaz.
Tomar varios segundos para que Snort inicie. Una vez que se ha iniciado, el icono cambiar a
abajo. Para detener una instancia de Snort que se ejecuta en una interfaz, haga clic en el
Como se muestra
icono.
. Para eliminar
Por defecto una Pass List se genera automticamente por Snort en cada interfaz, y esta lista por defecto se utiliza
cuando no se especifica otra lista. Las Pass List se asignan a una interfaz en la pestaa Configuracin de la interfaz.
Pass List personalizadas pueden ser creadas y asignadas a una interfaz. Esto podra hacerse cuando existen hosts
externos de confianza que no se encuentra en las redes conectadas directamente al servidor de seguridad. Para
agregar hosts externos de esta manera, primero crear un alias bajo Firewall> Aliases y luego asignar ese alias en el
campo Assigned Aliases. En el ejemplo que se muestra a continuacin, los alias "Friendly_ext_hosts" han sido
asignados. Este alias contendra las direcciones IP de los hosts externos de confianza.
Al crear una Pass List personalizada, dejar todas las direcciones IP generadas automticamente controladas en la
seccin de direcciones IP autogeneradas. No seleccionar las casillas de verificacin en esta seccin puede conducir al
bloqueo de direcciones crticas, incluyendo las propias interfaces del firewall. Esto podra resultar en que se cierre la
puerta del propio servidor de seguridad en la red. Slo desmarcar las casillas en esta seccin cuando sea
absolutamente necesario.
Haga clic en el botn de ALIASES para abrir una ventana que muestra los alias definidos previamente para la
seleccin. Recuerde hacer clic en GUARDAR para guardar los cambios.
NOTA: Recuerda que la simple creacin de una Pass List es slo el primer paso! Debe seleccionarse yendo a la
pestaa Configuracin de la interfaz para la interfaz de Snort y asignar la nueva Pass List que se cre, como se
muestra a continuacin. Despus de asignar y guardar la nueva Pass List, reinicie Snort en la interfaz afectada para
aplicar los cambios.
En la pgina de edicin de Suppress List, una nueva Suppress List puede ser aadida o editarse manualmente. Por lo
general es ms fcil y ms rpido para agregar entradas de la Suppress List haciendo clic
mostrado en las
entradas de alerta en la pestaa Alerts. Recuerde hacer clic en el botn SAVA para guardar los cambios al editar
manualmente entradas de la Suppress List.
Detalles de Alerta
La columna Fecha muestra la fecha y la hora que se gener la alerta. Las columnas restantes muestran los datos de
la regla que genera la alerta.
En las columnas Source y Destination los iconos y son para realizar bsquedas de DNS inversas en las
direcciones IP, as como un icono utilizado para agregar automticamente a Suppress List la entrada para la alerta
utilizando la direccin IP y el SID (firma ID). Esto evitar futuras alertas que se generen por la regla para esa direccin
IP especfica solamente. Si cualquiera de las direcciones de origen o destino est siendo bloqueada por Snort,
entonces un icono se mostrar. Al hacer clic en ese icono se eliminar el bloque de la direccin IP.
La columna SID contiene dos iconos. El icono agregar automticamente ese SID a la Suppress List para la interfaz
y suprimir futuras alertas de la firma para todas las direcciones IP. El icono de la columna SID deshabilitar la regla
y la eliminar del conjunto de reglas de cumplimiento. Cuando una regla es desactivada manualmente, el icono en la
columna SID cambiar a .