Manualbsicodedeteccindeescaneosconsnort

Snortesunaherramientadeseguridadmuyutilizadaenlinux,conlacual
podemos asegurar nuestro equipo o nuestra red. Ofrece muchas
posibilidades,peroenestepequeomanualnoscentraremosenlasmas
bsicas.
Unadeellasesladeteccindeescanosdepuertos.Snortnosofrecede
forma muy clara las ips que han intentado escanear nuestro equipo, asi
comolahoradelescaneoydetallessobrelospaquetesempleados.
Unavezinstaladosnortyaseadesdelasfuentesodesdeloscdsdenuestra
distribucin de linux hemos de configurarlo modificando el archivo
snort.conf, estableciendo las variables oportunas a la configuracin de
nuestrared.Porejemplosiquequeremosestablecerquenuestrainterfaz
externalatenemosenlaconexin del mdem 56K, lo que tenemos que
hacereseditardichoarchivoybuscarlasiguientelinea:
varEXTERNAL_NETany
Ycambiarlaporesto:
varEXTERNAL_NET$ppp0_ADDRESS
Aunquesiladejamoscomoestabatambinnosdetectarlosescaneos,solo
quedelasegundaformapodemosespecificarexactamenteenqueinterfaz
queremosdetectarlosescaneos.
En snort.conf tambin podemos establecer todas las variables
correspondientesanuestrosservidoresweb,DNSocualesquieraestuvieran
presentesennuestrared.
Unavezconfiguradoestearchivohemosdeasegurarnosdequesnortvaa
poderescribirloslogsenelsitioadecuado.Asiquenosvamosa/var/log/y
nosaseguramosdequeexisteundirectoriollamadosnortysinolohubiera
locrearamos.
Solonosquedaarrancarsnortindicndoledondeestelarchivosnort.conf
ylainterfazquehadevigilarysiseproducieraalgnescaneo,dentrode/
var/log/snort/ nos aparecera un directorio con la ip que tenia en ese
momentoesainterfaz,ylaipquenoshaescaneadoydentrodel,distintos
archivosconinformacinsobreelescaneo,desdedondeseprodujo,hora,
etc.

Unejemplo,unavezinstaladoyconfiguradosnortenmisistema,loarranco
delasiguientemanera:
[root@localhost vlad]# snort c /compilados/snort2.2.0/etc/snort.conf i
ppp0
Snortseponeavigilar.Ahoranosvamosaunescaneronline,porejemplo
eldelaAsociacindeInternautas:
http://www.internautas.org/wscanonline.php
Nosescaneamosyunavezfinalizadonosvamosa/var/log/snort/yvemos
loquesenoshacreado:
[root@localhost/]#cd/var/log/snort/
[root@localhostsnort]#ls
216.121.96.120/62.83.204.24/alert
Tenemosdosdirectorios,unoconlaipquenoshaescaneadoyotroconla
ip que en ese momento tenamos mediante la conexin a internet de
nuestromdemanalgico.Vamosaqueinformacinnosdalaprimeraip:
[root@localhostsnort]#cd216.121.96.120/
[root@localhost216.121.96.120]#ls
TCP:4047161TCP:4108161
Vamosaverunodeesosarchivos:
[root@localhost216.121.96.120]#nanoTCP\:4047161
[**]SNMPrequesttcp[**]
09/1617:15:53.145243216.121.96.120:4047>62.83.204.24:161
TCPTTL:51TOS:0x0ID:17309IpLen:20DgmLen:60DF
******S*Seq:0xF0F8991CAck:0x0Win:0x7D78TcpLen:40
TCPOptions(5)=>MSS:1460SackOKTS:5134845670NOPWS:0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
+=+=+=+=+=+=+=+
Fecha,hora,ipquenosescaneo,puertodesdeelquelohizo,puertoalque
nosllegoanosotros...Muycompleto.
Simiramoseneldirectorioquellevanuestraipencontraremoslosiguiente:
[root@localhost216.121.96.120]#cd../62.83.204.24/

[root@localhost62.83.204.24]#ls
TCP:100080TCP:107480TCP:121480TCP:190080
TCP:102180TCP:111980TCP:188980TCP:197380
Vemoselltimoarchivo:
[**]BADTRAFFICloopbacktraffic[**]
09/1617:17:00.709208127.0.0.1:80>62.83.204.24:1973
TCPTTL:124TOS:0x0ID:57676IpLen:20DgmLen:40
***A*R**Seq:0x0Ack:0x1DED0001Win:0x0TcpLen:20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
+=+=+=+=+=+=+=+
aqunosdicequeelescaneoserealizdesde127.0.0.1:80,esoquieredecir
quesetratabadeunescaneoonline.