Asignatura Datos del alumno Fecha

Apellidos: BOHÓRQUEZ CUELLAR

Seguridad en Redes 22/05/2020
Nombre: SANDRA PATRICIA

SISTEMA DE DETECCIÓN DE INTRUSOS

Acción Regla

1. Definir una variable para la red local

Ipvar RED_LOCAL [10.5.2.0/24]
(RED_LOCAL), otra para la DMZ (RED_DMZ)
Ipvar RED_DMZ [10.5.1.0/24]
y otra para todo lo que no sea ni red local ni
Ipvar RED_EXTERNA [0.0.0.0/24]
DMZ (RED_EXTERNA).

2. Añadir una regla que detecte el patrón GET

pass.html en la parte de datos de todos los
paquetes HTTP (puerto 80) dirigidos al servidor alert tcp any any -> 10.5.1.10 80 (msg: “Detectado
WEB. Cuando se detecte el patrón indicado la Ataque HTTP”;content:“GET pass.html”;sid:1)
regla lanzará una alerta con el mensaje
Detectado Ataque HTTP.

3. Añadir una nueva regla que busque la cadena

pass.html entre los caracteres 5 y 261 de la parte
de datos de todos los paquetes HTTP (puerto alert tcp any-> 10.5.1.10 80 (msg:" Detectado
80) dirigidos al servidor WEB. Cuando se Intento de Acceso al fichero pass.html";content:
detecte el patrón indicado la regla lanzará una “pass.html”; offset:5; depth:261; sid:2)
alerta con el mensaje Detectado Intento de
Acceso al fichero pass.html.

4. Añadir una regla de Snort que detecte el

envío de contraseñas en claro (comando PASS)
desde la red local al conectarse a servicios de
alert tcp $RED_LOCAL any -> $RED_EXTERNA
transferencia de ficheros (FTP) o de consulta de
[21,110,] (content:“PASS”; msg:" Detectado uso de
correo (POP3) en máquinas de Internet. Cuando
contraseñas en claro”;sid:10000003;rev:1)
se detecte el patrón indicado la regla lanzará
una alerta con el mensaje Detectado uso de
contraseñas en claro.

Tabla 1. Reglas Snort.

TEMA 4 – Actividades © Universidad Internacional de La Rioja (UNIR