Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Apellidos:
Seguridad en
Redes
Nombre:
Actividades
Trabajo: Sistema de Detección de Intrusos (IDS)
Decides que la mejor localización para el IDS es el cortafuegos FW y te
pones manos a la obra:
https://www.coursehero.com/file/54779763/srt4tradoc/
Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en
Redes
Nombre:
Ya has configurado el IDS con las reglas adecuadas, has comprobado que
todo sea correcto y crees que has terminado el trabajo…, pero no es así. El
responsable de seguridad de Example es de la vieja escuela y quiere todas
las reglas documentadas. Además, es muy quisquilloso y solo aceptará la
documentación si se la entregas en un formato concreto. Debes rellenar la
tabla 1 con las reglas de Snort que deberían aplicarse para llevar a cabo
las acciones solicitadas, generar un PDF y hacer entrega de este a través
de la plataforma facilitada dentro del plazo establecido… ¡Suerte!
Notas:
» Todas las acciones deben llevarse a cabo con una única regla (a
excepción de la acción 1 para la que se requiere la definición de tres
variables).
» La evaluación de la práctica se llevará a cabo únicamente evaluando la
tabla de reglas que entreguéis.
Acción Regla
1. Definir una variable para la red
local (RED_LOCAL), otra para la ipvar RED_LOCAL [10.5.2.0/24]
DMZ (RED_DMZ) y otra para todo lo ipvar RED_DMZ [10.5.1.0/24]
que no sea ni red local ni DMZ ipvar RED_EXTERNA [10.5.0.0/24]
(RED_EXTERNA).
2. Añadir una regla que detecte el
patrón GET pass.html en la parte de
datos de todos los paquetes HTTP alert tcp any any -> $RED_DMZ 80
(puerto 80) dirigidos al servidor (content:”GET pass.html”;msg:”Detectado
WEB. Cuando se detecte el patrón Ataque HTTP”;)
indicado la regla lanzará una alerta
con el mensaje Detectado Ataque
HTTP.
3. Añadir una nueva regla que
busque la cadena pass.html entre los
alert tcp any any -> $RED_DMZ 80
caracteres 5 y 261 de la parte de
(content:“pass.html”;offset:5;depth:261;msg:“D
datos de todos los paquetes HTTP
etectado Intento de Acceso al fichero
(puerto 80) dirigidos al servidor
pass.html”;)
WEB. Cuando se detecte el patrón
indicado la regla lanzará una alerta
con el mensaje Detectado Intento de
Acceso al fichero pass.html.
4. Añadir una regla de Snort que alert $RED_LOCAL any -> $RED_EXTERNA any
detecte el envío de contraseñas en (content:“PASS”;pcre:“/^PASS\s[^\n]
claro (comando PASS) desde la red {100}/smi”;msg: “ Detectado uso de contraseñas
https://www.coursehero.com/file/54779763/srt4tradoc/
Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en
Redes
Nombre:
https://www.coursehero.com/file/54779763/srt4tradoc/
Powered by TCPDF (www.tcpdf.org)