Herramientas de Seguridad

HERRAMIENTAS DE SEGURIDAD INFORMTICA
REDES INALMBRICAS 1

Tabla de contenido
1. Resumen: ........................................................................................................................................................ 3
2. Introduccin: ................................................................................................................................................. 3
3. Justificacin: .................................................................................................................................................. 4
4. Marco Terico: ............................................................................................................................................. 5
4.1. Seguridad informtica: ......................................................................................................................... 5
4.2. Principios de Seguridad Informtica: ............................................................................................ 5
4.3. Factores de Riesgo: ................................................................................................................................ 6
4.4. Qu es un IDS? ....................................................................................................................................... 6
4.5. Cortafuegos vs IDS: ................................................................................................................................ 7
4.6. Funcionamiento: ..................................................................................................................................... 7
4.7. Tipos de IDS: ............................................................................................................................................. 8
4.7.1. Clasificacin por situacin: ............................................................................................................ 8
4.7.2. Clasificacin segn los modelos de detecciones:.................................................................. 9
4.7.3. Clasificacin segn su naturaleza: ............................................................................................ 10
5. Objetivos ....................................................................................................................................................... 11
5.1. Objetivo general .................................................................................................................................... 11
5.2. Objetivos especficos ........................................................................................................................... 11
6. Desarrollo de las herramientas: .......................................................................................................... 11
6.1. Snort: ......................................................................................................................................................... 11
6.1.1. Historia: ............................................................................................................................................... 11
6.1.2. Definicin:........................................................................................................................................... 11
6.1.3. Caracteriasticas importantes: .................................................................................................... 12
6.1.4. Funcionamiento ............................................................................................................................... 13

REDES INALMBRICAS 2

6.1.4.1. Funcionamiento del motor de Snort ................................................................................... 13
6.1.5. Comandos de Snort ......................................................................................................................... 14
6.1.6. Instalacin IDS Snort para Windows ....................................................................................... 15
6.2. Fping .......................................................................................................................................................... 18
6.2.1. Caractersticas .................................................................................................................................. 18
6.2.2. Opciones .............................................................................................................................................. 19
7. Conclusiones ............................................................................................................................................. 19
8. Referencias .................................................................................................................................................. 20


REDES INALMBRICAS 3

1. Resumen:
El presente documento trata acerca de herramientas de seguridad tales como Snort
desarrollado por SourceFire, y fping.
Para llegar a hablar de dichas herramientas primero se definir lo que es un IDS. A
continuacin, se hablar de lo que es Snort, como funciona y todos los aspectos bsicos
del mismo y as tambin de fping.
2. Introduccin:
Se entiende por seguridad informtica [1] al conjunto de normas, procedimientos y
herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la informacin que reside en un sistema de informacin.
Cada da ms y ms personas mal intencionadas intentan tener acceso a los datos de
nuestros ordenadores. El acceso no autorizado a una red informtica o a los equipos que
en ella se encuentran pueden ocasionar en la gran mayora de los casos graves problemas.
Uno de las posibles consecuencias de una intrusin es la prdida de datos. Es un hecho
frecuente y ocasiona muchos trastornos, sobre todo si no estamos al da de las copias de
seguridad. Y aunque estemos al da, no siempre es posible recuperar la totalidad de los
datos.
Otro de los problemas ms dainos es el robo de informacin sensible y confidencial. La
divulgacin de la informacin que posee una empresa sobre sus clientes puede acarrear

REDES INALMBRICAS 4

demandas millonarias contra esta, o un ejemplo ms cercano es el de nuestras contraseas
de las cuentas de correo por las que intercambiamos informacin con otros.
Con la constante evolucin de las computadoras es fundamental saber que recursos
necesitar para obtener seguridad en los sistemas de informacin.

3. Justificacin:
Como la inseguridad se da en muchas maneras en nuestro entorno social, en las redes no
es la excepcin. Las organizaciones, empresas, universidades, etc. buscan tener la mayor
seguridad en sus esquemas, para no tener perdidas en su economa, de su privacidad y de
su confidencialidad.
Para no tener que preocuparse dems, esto se puede hacer simplemente si se tiene una
buena planeacin, organizacin y prevencin de lo que realmente se requiere para la
infraestructura que queremos proteger.
En vista que la informacin, es el factor primordial por el cual muchos usuarios
malintencionados hacen actos ilcitos, de los cuales utilizan diferentes mtodos que
muchos de nosotros ni siquiera nos habamos imaginado, con tal de conseguir la valiosa
informacin, aunque por otro lado tambin hay quienes no estn de acuerdo con la
monopolizacin que hacen algunas empresas, entonces lo que buscan es hacer notar de
dichas fallas que pueden tener sus productos, dando las posibilidad de conocer otros
mercados que puedan contener mejor seguridad, y mejores precios, pero como siempre,
los ms afectados son aquellos que no tienen nada que ver con todo lo que pase, y es por
ello que las "vctimas" tienen que recurrir y confiar en los diferentes productos.
Y para que se puedan tomar medidas preventivas es importante que nos preguntemos
contra qu nos defendemos?, Por qu nos defendemos?, y con que nos podemos
defender?

REDES INALMBRICAS 5

4. Marco Terico:
4.1. Seguridad informtica:
La seguridad informtica es [2] la disciplina que se ocupa de disear las normas,
procedimientos, mtodos y tcnicas, orientados a proveer condiciones seguras y
confiables, para el procesamiento de datos en sistemas informticos.
Consiste en asegurar que los recursos del sistema de informacin (material informtico
o programas) de una organizacin sean utilizados de la manera que se decidi y que el
acceso a la informacin all contenida, as como su modificacin, slo sea posible a las
personas que se encuentren acreditadas y dentro de los lmites de su autorizacin.
4.2. Principios de Seguridad Informtica:
Para lograr sus objetivos la seguridad informtica se fundamenta en tres principios, que
debe cumplir todo sistema informtico:
Confidencialidad: Se refiere a la privacidad de los elementos de informacin
almacenados y procesados en un sistema informtico, basndose en este principio,
las herramientas de seguridad informtica deben proteger el sistema de
invasiones y accesos por parte de personas o programas no autorizados. Este
principio es particularmente importante en sistemas distribuidos, es decir,
aquellos en los que los usuarios, computadores y datos residen en localidades
diferentes, pero estn fsica y lgicamente interconectados.

Integridad: Se refiere a la validez y consistencia de los elementos de informacin
almacenados y procesador en un sistema informtico. Basndose en este principio,
las herramientas de seguridad informtica deben asegurar que los procesos de
actualizacin estn bien sincronizados y no se dupliquen, de forma que todos los
elementos del sistema manipulen adecuadamente los mismos datos. Este principio
es importante en sistemas descentralizados, es decir, aquellos en los que
diferentes usuarios, computadores y procesos comparten la misma informacin.


REDES INALMBRICAS 6

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de
informacin almacenados y procesados en un sistema informtico. Basndose en
este principio, las herramientas de seguridad informtica deber reforzar la
permanencia del sistema informtico, en condiciones de actividad adecuadas para
que los usuarios accedan a los datos con la frecuencia y dedicacin que requieran,
este principio es importante en sistemas informticos cuyos compromiso con el
usuario, es prestar servicio permanente.
4.3. Factores de Riesgo:
Ambientales/Fsicos: Son los factores externos, lluvias, inundaciones,
terremotos, tormentas, rayos, humedad, calor entre otros.
Tecnolgicos: Tales como fallas de hardware y/o software, fallas en el aire
acondicionado, falla en el servicio elctrico, ataque por virus informtico,
etc.
Humanos: Por ejemplo hurto, adulteracin, fraude, modificacin,
revelacin, prdida, sabotaje, vandalismo, crackers, hackers, falsificacin,
robo de contraseas, alteraciones etc.
4.4. Qu es un IDS?
Un sistema de deteccin de intrusos [3] (o IDS de sus siglas en ingls Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo
del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS
detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de
ataques o falsas alarmas.
Algunas de las caractersticas deseables para un IDS son:
Deben estar continuamente en ejecucin con un mnimo de supervisin.
Se deben recuperar de las posibles cadas o problemas con la red.

REDES INALMBRICAS 7

Debe poderse analizar l mismo y detectar si ha sido modificado por un atacante.
Debe utilizar los mnimos recursos posibles.
Debe estar configurado acorde con la poltica de seguridad seguida por la
organizacin.
Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente
actualizable.

4.5. Cortafuegos vs IDS:
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un
sistema o en una red, considerando intrusin a toda actividad no autorizada o no que no
debera ocurrir en ese sistema. Segn esta definicin, muchos podran pensar que ese
trabajo ya se realiza mediante los cortafuegos o firewalls.
La principal diferencia, es que un cortafuegos [4] es una herramienta basada en la
aplicacin de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques,
desde los ataques tunneling(saltos de barrera) a los ataques basados en las aplicaciones.
Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una
tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra
una base de datos que determina si est permitido un protocolo determinado y permite o
no el paso del paquete basndose en atributos tales como las direcciones de origen y de
destino, el nmero de puerto, etc... Esto se convierte en un problema cuando un atacante
enmascara el trfico que debera ser analizado por el cortafuegos o utiliza un programa
para comunicarse directamente con una aplicacin remota. Estos aspectos se escapan a las
funcionalidades previstas en el diseo inicial de los cortafuegos. Es aqu donde entran los
IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.

4.6. Funcionamiento:
El funcionamiento de estas herramientas se basa en el anlisis detallado del trfico de
red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o
comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes

REDES INALMBRICAS 8

malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el
contenido y su comportamiento.
Normalmente sta herramienta se integra con un firewall. El detector de intrusos es
incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un
dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una
herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del
firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser
bloqueados antes de penetrar en la red.
Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas
firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre
el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del
mismo.

4.7. Tipos de IDS:
Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de
deteccin que posee o de su naturaleza y reaccin cuando detecta un posible ataque.
4.7.1. Clasificacin por situacin:
Segn la funcin del software IDS, estos pueden ser:
-NIDS (Network Intrusion Detection System)
-HIDS (Host Intrusion Detection System)
Los NIDS analizan el trfico de la red completa, examinando los paquetes individualmente,
comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete
de red y detectando paquetes armados maliciosamente y diseados para no ser detectados
por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web
al que se est accediendo y con qu opciones y producir alertas cuando un atacante intenta
explotar algn fallo en este programa.
Los NIDS tienen dos componentes:
Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico
sospechoso.

REDES INALMBRICAS 9

Una consola: recibe las alarmas del sensor o sensores y dependiendo de la
configuracin reacciona a las alarmas recibidas.
Las principales ventajas del NIDS son:
Detectan accesos no deseados a la red.
No necesitan instalar software adicional en los servidores en produccin.
Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado.

Como principales desventajas se encuentran:
Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede
detectar un ataque en diferentes segmentos de la red. La solucin ms sencilla es
colocar diversos sensores.
Pueden generar trfico en la red.
Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o un PC, se preocupan de lo que
est sucediendo en cada host y son capaces de detectar situaciones como los intentos
fallidos de acceso o modificaciones en archivos considerados crticos.
Las ventajas que aporta el HIDS son:
Herramienta potente, registra comandos utilizados, ficheros abiertos,...
Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo
falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo
son.
Menor riesgo en las respuestas activas que los IDS de red.
Los inconvenientes son:
Requiere instalacin en la mquina local que se quiere proteger, lo que supone una
carga adicional para el sistema.
Tienden a confiar en las capacidades de auditora y logging de la mquina en s.
4.7.2. Clasificacin segn los modelos de detecciones:
Los dos tipos de detecciones que pueden realizar los IDS son:

REDES INALMBRICAS 10

Deteccin del mal uso.
Deteccin del uso anmalo.

La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red,
por ejemplo, combinaciones dentro de un paquete que no se podran dar legtimamente.
Este tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin
permiso (por ejemplo, sniffers). Los modelos de deteccin basado en el mal uso se
implementan observando cmo se pueden explotar los puntos dbiles de los sistemas,
describindolos mediante unos patrones o una secuencia de eventos o datos (firma) que
sern interpretados por el IDS.

En cambio, la deteccin de actividades anmalas se apoya en estadsticas tras comprender
cul es el trfico normal en la red del que no lo es. Un claro ejemplo de actividad anmala
sera la deteccin de trfico fuera de horario de oficina o el acceso repetitivo desde una
mquina remota (rastreo de puertos). Este modelo de deteccin se realiza detectando
cambios en los patrones de utilizacin o comportamiento del sistema. Esto se consigue
realizando un modelo estadstico que contenga una mtrica definida y compararlo con los
datos reales analizados en busca de desviaciones estadsticas significantes.
4.7.3. Clasificacin segn su naturaleza:
Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a
un posible ataque:
Pasivos: Los IDS pasivos detectan una posible violacin de la seguridad, registran
la informacin y genera una alerta.
Reactivos. Los IDS reactivos estn diseados para responder ante una actividad
ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramacin
del cortafuegos para impedir el trfico desde una fuente hostil.



5. Objetivos
5.1. Objetivo general
Explicar el funcionamiento de las diferentes herramientas de seguridad informtica.
5.2. Objetivos especficos
Analizar los conceptos de seguridad requeridos para los diferentes casos.
Demostrar la proteccin del trfico de Red inalmbrico.
Explicar la configuracin o funcionamiento de las diferentes herramientas de
Seguridad.

6. Desarrollo de las herramientas:
6.1. Snort:
6.1.1. Historia:
Snort se desarroll en 1998 bajo el nombre de APE por Marty Roesch. En ese ao contaba
con mil seiscientas lneas de cdigo y su utilidad era la de analizar conexiones de red a
travs de un cable modem y como debugger para las aplicaciones de red. Ms tarde se
desarroll el primer analizador de firmas para Snort, que fue implementado en 1999. A
partir de entonces se comenz a usar como un IDS.
En diciembre de 1999 apareci la versin 1.5, en la que su autor decidi una nueva
arquitectura basada en plugins, que se mantiene todava. Actualmente se compone de ms
de setenta y cinco mil lneas de cdigo y una arquitectura que poco tiene que ver con el
diseo original.
6.1.2. Definicin:
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza
todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de
almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos


abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de
puertos que permite registrar, alertar y responder ante cualquier anomala previamente
definida. As mismo existen herramientas de terceros para mostrar informes en tiempo
real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS
implementa un lenguaje de creacin de reglas flexibles, potente y sencillo. Durante su
instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP,
ataques web, CGI, Nmap...
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en
nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo
los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso
NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de
configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque. An
cuando tcpdump es considerada una herramienta de auditora muy til, no se considera
un verdadero IDS puesto que no analiza ni seala paquetes por anomalas. Tcpdump
imprime toda la informacin de paquetes a la salida en pantalla o a un archivo de registro
sin ningn tipo de anlisis. Un verdadero IDS analiza los paquetes, marca las
transmisiones que sean potencialmente maliciosas y las almacena en un registro
formateado, as, Snort utiliza la biblioteca estndar libcap y tcpdump como registro de
paquetes en el fondo.
6.1.3. Caracteriasticas importantes:
Snort (http://www.snort.org/) est disponible bajo licencia GPL[5], gratuito y funciona
bajo plataformas Windows y UNIX/Linux. Es uno de los ms usados y dispone de una gran
cantidad de filtros o patrones ya predefinidos, as como actualizaciones constantes ante
casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los
distintos boletines de seguridad.
La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema
flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est
actualizando constantemente y a la cual se puede aadir o actualizar a travs del internet.
Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de
red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de
Snort se puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en
uno de los IDSes basados en red ms populares, actualizados y robustos.


6.1.4. Funcionamiento
En la versin de Windows, es necesario instalar WinPcap. Este software consiste en un
driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y
una librera que facilita a las aplicaciones acceder a la capa de enlace saltndose la pila de
protocolos.
Snort puede funcionar en:
Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en
la red en que Snort es configurado.
Modo packet logger (registro de paquetes), en el que se almacena en un sistema de
log toda la actividad de la red en que se ha configurado Snort para un posterior
anlisis.
Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la
actividad de la red a travs de un fichero de configuracin en el que se especifican
las reglas y patrones a filtrar para estudiar los posibles ataques.
Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento,
debemos introducir en la base de patrones de ataques los que queremos utilizar para
detectar actividades sospechosas contra nuestra red.
6.1.4.1. Funcionamiento del motor de Snort
El motor de Snort se divide en los siguientes componentes:
Decodificador del paquete, toma los paquetes de diferentes tipos de interfaces
de red, y prepara el paquete para ser preprocesado o enviado al motor de
deteccin.

Los preprocesadores, son componentes o plugins que pueden ser usados con
Snort para arreglar, rearmar o modificar datos, antes que el motor de deteccin
haga alguna operacin para encontrar si el paquete est siendo enviado por un
intruso. Algunos preprocesadores realizan deteccin buscando anomalas en las
cabeceras de los paquetes y generando alertas. Son muy importantes porque
preparan los datos para ser analizados contra reglas en el motor de deteccin.



Motor de deteccin (Comparacin contra firmas), es el responsable de detectar
si alguna actividad de intrusin existe en un paquete. El motor utiliza las reglas
que han sido definidas para este propsito. Las reglas (o cadenas) son macheadas
contra todos los paquetes. Si un paquete machea una regla, la accin configurada
en la misma es ejecutada.

Loggin y sistema de alerta, se encarga de loguear o generar una alerta pero esto
es dependiendo que detecte el motor dentro de un paquete, los logs son
almacenados en archivos de texto, archivos con formato tcpdump u otro formato.

Los Plugins de salida toman la salida del sistema de alerta y permiten
almacenarlas en distintos formatos o reaccionar antes el mismo. Por ejemplo:
enviar emails, traps SNMP, syslog, insertar en una base de datos, etc. Plugins de
salida:
- Bases de datos (MySql, Postgres, etc)
- Syslog
- XML
- Traps SNMP
- Mensajes SMB
6.1.5. Comandos de Snort
Los siguientes [6] son los comandos imprescindibles que se pueden utilizar en Snort para
obtener las diferentes funcionalidades:
Snort -W
El parmetro -W, es el primero que deberemos ejecutar en nuestro ordenador para
conocer las interfaces fsicas o virtuales de las que dispone nuestro ordenador, para ms
tarde saber cual usar. Este comando nos sacara una lista de las interface con su nombre, y
descripcin.
Snort-v -i interface
Usando -v -i interface, podremos empezar a usar snort como sniffer, ya que para esta
funcin, no importa que tengamos mal configurado los ficheros de configuracin. Con la
opcin -v, nos mostrara todos los paquetes capturados de forma extendida o verbose, y


con el parmetro i interface le indicaremos en que interface tiene que escuchar. Recuerda
que para saber el valor de interface tienes que usar snort -W. En nuestro caso el comando
quedar:
snort -v -i 4 (windows)
snort -v -i eth0 (linux)
snort -T -c ruta_completa_fichero_snort.conf
Con el parametro -T -c ruta_completa_fichero_configuracin, snort nos mostrar un
reporte del estado de nuestro fichero de configuracin, recorrindolo completamente
incluido todas las reglas para detectar los fallos que puedan existir.

snort -c ruta_completa_fichero_snort.conf -i interface
Una vez que tengamos todo en orden, este ser el parmetro a aplicar para poner snort en
funcionamiento como sistema de intrusin IDS. Este comando nos servir tanto para
windows como para Linux.

Para establecer a Snort como servicio o daemon en Windows o Linux:
snort /SERVICE /INSTALL -c ruta_completa_fichero_snort.conf -i interface (Para
Windows)
Nos permitir colocar snort como servicio en un sistema windows para que arranque al
comienzo del sistema.
snort -D -c ruta_completa_fichero_snort.conf -i interface (Para Linux)
Nos permitir colocar snort como un daemon en un sistema linux para que arranque al
comienzo del sistema.
6.1.6. Instalacin IDS Snort para Windows
Para instalar snort en un sistema windows necesitamos seguir los siguientes pasos:
Descargamos una copia de Winpcap.exe de www.winpcap.org.
Despus de instalar Win-Pcap, reiniciar el sistema.
Descargar la ltima versin de Snort paraWindows de la pgina: www.snort.org. e
instalar


Durante la instalacin real, Snort crea una estructura de directorio en C: \
Snort que se parece a esto:
C:\snort\bin directorio donde se encuentra el ejecutable de la
herramienta
C: \ snort \ contrib
C: \snort \ doc documentacin de la herramienta
C: \snort \ etc directorio principal para los archivos de configuracin
C: \snort \ log
C: \snort\ rules juegos de reglas

Los ficheros ms importantes son:
etc/snort.conf: archivo de configuracin principal.
etc/classification.config: informacin sobre la priorizacin de las reglas,
incluyendo un nombre clasificatorio y una pequea descripcin.
etc/gen-msg.map: incluye correspondencia entre un identificador de elemento
generador de un evento y su descripcin.
etc/reference.config: define las URL asociadas a las referencias de ms
informacin que suelen indicarse junto a las reglas de deteccin.
etc/sid-msg.map: hace corresponder el identificador de una alerta (Snort ID, SID)
con su mensaje descriptivo.
etc/threshold.conf: configuracin de umbrales lmite que permiten la reduccin
de alarmas por repeticin de eventos.
etc/unicode.map: correspondencias de formato entre diferentes tipos de cdigo.


Una vez que est instalado Snort, debemos continuar con la configuracin
Lo primero que tenemos que hacer es acceder a la carpeta C:\Snort\etc en este directorio
encontraremos un fichero llamado snort.conf, que es el fichero de configuracin que
utilizaremos para configurar Snort.
Accedemos al fichero con un editor de texto que no corrompa el formato original del
archivo (notepad o wordpad). En la parte final donde hay una serie de includes con tipos
de reglas, que en funcin de que tengan delante el signo almohadilla, #, o no, se incluirn
en la revisin de los paquetes.
Para ello vamos a utilizar notepad++
Antes de todo descargamos las reglas y sobre escribimos todos los ficheros Uno de ellos
es snort.conf, ficheros que vamos a modificar ahora.
Quitamos la # a las siguientes lneas y las dejamos de la siguiente forma:
# decoder and preprocessor event rules
include $PREPROC_RULE_PATH/preprocessor.rules
include $PREPROC_RULE_PATH/decoder.rules
include $PREPROC_RULE_PATH/sensitive-data.rules
Con esto, las reglas descargadas ya estn operativas.
En el archivo snort.conf, cambiar por:
var RULE_PATH c:\snort\rules


var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\rules\preproc_rules
Buscamos la declaracin include classification.config y realizamos el siguiente
cambioComentamos el primero y aadimos el segundo
# include classification.config
include c:\snort\etc\classification.config

Buscamos la declaracin include reference.config y cambiarlo para incluir
c:\snort\etc\reference.configComentamos el primero y aadimos el segundo
# include reference.configinclude c:\snort\etc\reference.config
Y finalmente guardamos el archivo
6.2. Fping
6.2.1. Caractersticas

Fping [7]es una utilidad que realiza un ping original (tal y como sueles hacerlo desde DOS
o la lnea de comando) pero con mltiples funciones extras, proporcionando mucha ms
informacin y detalles. Fping usa solicitud de eco ICMP para ver cuntos equipos o host
estn vivos

El objetivo de los creadores de FPing es acercarse a los antiguos Ping que se realizaban en
plataformas Unix repletos de grficas e informacin, as te permite (entre otras cosas)
opciones de personalizacin, ajustar tiempos entre los pings, comprobar en mltiples y
distintos servidores desde una sola lnea de ejecucin, realizar pings continuos
ininterrumpidos, asociar un sonido a cada accin del Ping (por ejemplo que no responda),
asociar nombre a determinadas IP, etc.



6.2.2. Opciones
Uso: fping (opciones) (objetivos)
-a mostrar los objetivos que estn vivos
-A mostrar los objetivos dela direccin
-b n cantidad de datos ping para enviar, en bytes (por defecto 56)
B-f establece factor de backoff exponencial f
-cn numero de pings para enviar a cada objetivo (Default1)
-Cn mismo informe los resultados de as-c en formato detallado
-e muestra el tiempo que transcurri por paquetes devueltos
-g genera una lista de objetivos (slo si no se especifica-f)
-i n muestra el intervalo entre el envo de paquetes de ping (en milisegundos)
(por defecto 25)
-l enva pings para siempre
-m ping a mltiples interfaces de host de destino
-n mostrar los objetivos por nombre (-d es equivalente)
-p n hace un intervalo entre paquetes ping a un objetivo (en milisegundos)
-qn quieto (no muestrar per-target/per-ping en resultados)
-Q n igual-q, pero muestra el resumen de cada n segundos
-r n nmero de intentos (por defecto 3)
-s imprimir las estadsticas finales
S-addr conjunto direccin de origen
-tn indica un objetivo individual de tiempo de espera inicial (en milisegundos)
(por defecto 500)
-u objetivos demuestran que son inalcanzables o irreconocibles o no contestan
-v Muestra la versin
7. Conclusiones
El gran crecimiento que se tiene de las redes de computadoras ha sido mucho y por
ello es que la seguridad tambin ha crecido a la par, da a da se trata buscar la
mejor forma para estar protegidos, pero al mismo tiempo, en cuanto sale algn
software o hardware, algunas personas, mejor conocidas como piratas
informticos, encuentran esos puntos dbiles, que usando su ingenio, crean
programas para destapar esas debilidades que existen en ellas. A pesar de todo


esto, tambin hay herramientas de seguridad como los firewalls, los sistemas de
proteccin como la criptografa, que se van actualizando y tapan esos huecos que
podan tener en sus versiones o generaciones anteriores, pero en si hay
muchsimas herramientas de las cuales se pueden conseguir y usar.
8. Referencias
[1],[2]http://www.monografias.com/trabajos82/la-seguridad-informatica/la-
seguridad-informatica.shtml
[3],[4]http://seguridadinformaticaufps.wikispaces.com/file/view/1150214.pdf/3
53879870/1150214.pdf
[5]http://www.uaeh.edu.mx/docencia/Tesis/icbi/licenciatura/documentos/Segu
ridad%20en%20redes.pdf
[6]http://www.ivanfl.com/jrvilda/?id=71
[7]http://codenameaika.blogspot.com/2013/05/laboratorio-fping_9756.html

Herramientas de Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Herramientas de Seguridad

Cargado por

Copyright:

Formatos disponibles

HERRAMIENTAS DE SEGURIDAD INFORMTICA

También podría gustarte