Seguridad en Redes 22/05/2020 Nombre: SANDRA PATRICIA
SISTEMA DE DETECCIÓN DE INTRUSOS
Acción Regla
1. Definir una variable para la red local
Ipvar RED_LOCAL [10.5.2.0/24] (RED_LOCAL), otra para la DMZ (RED_DMZ) Ipvar RED_DMZ [10.5.1.0/24] y otra para todo lo que no sea ni red local ni Ipvar RED_EXTERNA [0.0.0.0/24] DMZ (RED_EXTERNA).
2. Añadir una regla que detecte el patrón GET
pass.html en la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al servidor alert tcp any any -> 10.5.1.10 80 (msg: “Detectado WEB. Cuando se detecte el patrón indicado la Ataque HTTP”;content:“GET pass.html”;sid:1) regla lanzará una alerta con el mensaje Detectado Ataque HTTP.
3. Añadir una nueva regla que busque la cadena
pass.html entre los caracteres 5 y 261 de la parte de datos de todos los paquetes HTTP (puerto alert tcp any-> 10.5.1.10 80 (msg:" Detectado 80) dirigidos al servidor WEB. Cuando se Intento de Acceso al fichero pass.html";content: detecte el patrón indicado la regla lanzará una “pass.html”; offset:5; depth:261; sid:2) alerta con el mensaje Detectado Intento de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte el
envío de contraseñas en claro (comando PASS) desde la red local al conectarse a servicios de alert tcp $RED_LOCAL any -> $RED_EXTERNA transferencia de ficheros (FTP) o de consulta de [21,110,] (content:“PASS”; msg:" Detectado uso de correo (POP3) en máquinas de Internet. Cuando contraseñas en claro”;sid:10000003;rev:1) se detecte el patrón indicado la regla lanzará una alerta con el mensaje Detectado uso de contraseñas en claro.