Asignatura Datos del alumno Fecha

Apellidos:
Seguridad en
Redes
Nombre:

Actividades
Trabajo: Sistema de Detección de Intrusos (IDS)
Decides que la mejor localización para el IDS es el cortafuegos FW y te
pones manos a la obra:

1. Para facilitar la creación de reglas y mejorar su entendimiento decides

crear algunas variables. Defines una variable para la red local
(RED_LOCAL), otra para la DMZ (RED_DMZ) y otra para todo lo
que no sea ni red local ni DMZ (RED_EXTERNA).
2. En Example están preocupados porque creen que alguien ha estado
atacando su servidor WEB e intentando descargarse el fichero pass.html.
Decides añadir una regla que detecte el patrón GET pass.html en
la parte de datos de todos los paquetes HTTP (puerto 80)
dirigidos al servidor WEB. Cuando se detecte el patrón indicado la
regla lanzará una alerta con el mensaje Detectado Ataque HTTP.
3. Tras algunas pruebas te das cuenta de que tu regla anterior solo
funcionará si la descarga del fichero indicado se lleva a cabo sin incluir
una ruta previa. Decides añadir una nueva regla que busque la
cadena pass.html entre los caracteres 5 y 261 de la parte de datos
de todos los paquetes HTTP (puerto 80) dirigidos al servidor
WEB. Cuando se detecte el patrón indicado la regla lanzará una
alerta con el mensaje Detectado Intento de Acceso al fichero
pass.html.
4. El administrador de red de Example está preocupado porque parece que
algunos trabajadores están utilizando servicios no protegidos en Internet
que podrían exponer sus contraseñas. Decides añadir una regla de
Snort que detecte el envío de contraseñas en claro (comando
PASS) desde la red local al conectarse a servicios de transferencia
de ficheros (FTP) o de consulta de correo (POP3) en máquinas de
Internet. Cuando se detecte el patrón indicado la regla lanzará
una alerta con el mensaje Detectado uso de contraseñas en claro.

This study sourceTEMA 4 – Actividades

was downloaded by 100000838553003 from CourseHero.com on 01-03-2022 19:04:58 © Universidad
GMT -06:00 Internacional
de La Rioja (UNIR

https://www.coursehero.com/file/54779763/srt4tradoc/
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en
Redes
Nombre:

Ya has configurado el IDS con las reglas adecuadas, has comprobado que
todo sea correcto y crees que has terminado el trabajo…, pero no es así. El
responsable de seguridad de Example es de la vieja escuela y quiere todas
las reglas documentadas. Además, es muy quisquilloso y solo aceptará la
documentación si se la entregas en un formato concreto. Debes rellenar la
tabla 1 con las reglas de Snort que deberían aplicarse para llevar a cabo
las acciones solicitadas, generar un PDF y hacer entrega de este a través
de la plataforma facilitada dentro del plazo establecido… ¡Suerte!

Notas:

» Todas las acciones deben llevarse a cabo con una única regla (a
excepción de la acción 1 para la que se requiere la definición de tres
variables).
» La evaluación de la práctica se llevará a cabo únicamente evaluando la
tabla de reglas que entreguéis.

Acción Regla
1. Definir una variable para la red
local (RED_LOCAL), otra para la ipvar RED_LOCAL [10.5.2.0/24]
DMZ (RED_DMZ) y otra para todo lo ipvar RED_DMZ [10.5.1.0/24]
que no sea ni red local ni DMZ ipvar RED_EXTERNA [10.5.0.0/24]
(RED_EXTERNA).
2. Añadir una regla que detecte el
patrón GET pass.html en la parte de
datos de todos los paquetes HTTP alert tcp any any -> $RED_DMZ 80
(puerto 80) dirigidos al servidor (content:”GET pass.html”;msg:”Detectado
WEB. Cuando se detecte el patrón Ataque HTTP”;)
indicado la regla lanzará una alerta
con el mensaje Detectado Ataque
HTTP.
3. Añadir una nueva regla que
busque la cadena pass.html entre los
alert tcp any any -> $RED_DMZ 80
caracteres 5 y 261 de la parte de
(content:“pass.html”;offset:5;depth:261;msg:“D
datos de todos los paquetes HTTP
etectado Intento de Acceso al fichero
(puerto 80) dirigidos al servidor
pass.html”;)
WEB. Cuando se detecte el patrón
indicado la regla lanzará una alerta
con el mensaje Detectado Intento de
Acceso al fichero pass.html.
4. Añadir una regla de Snort que alert $RED_LOCAL any -> $RED_EXTERNA any
detecte el envío de contraseñas en (content:“PASS”;pcre:“/^PASS\s[^\n]
claro (comando PASS) desde la red {100}/smi”;msg: “ Detectado uso de contraseñas

This study sourceTEMA 4 – Actividades

was downloaded by 100000838553003 from CourseHero.com on 01-03-2022 19:04:58 © Universidad
GMT -06:00 Internacional
de La Rioja (UNIR

https://www.coursehero.com/file/54779763/srt4tradoc/
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en
Redes
Nombre:

local al conectarse a servicios de

transferencia de ficheros (FTP) o de
consulta de correo (POP3) en
máquinas de Internet. Cuando se en claro ”;)
detecte el patrón indicado la regla
lanzará una alerta con el mensaje
Detectado uso de contraseñas en
claro.

Tabla 1. Reglas Snort.

This study sourceTEMA 4 – Actividades

was downloaded by 100000838553003 from CourseHero.com on 01-03-2022 19:04:58 © Universidad
GMT -06:00 Internacional
de La Rioja (UNIR

https://www.coursehero.com/file/54779763/srt4tradoc/
Powered by TCPDF (www.tcpdf.org)