Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller Archivos Base de Datos

    Cargado por

    Mauricio Luna
    10 vistas4 páginas

    Título original

    Taller Archivos Base de datos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    10 vistas4 páginas

    Taller Archivos Base de Datos

    Cargado por

    Mauricio Luna

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Para empezar, vamos a conocer un poco mas sobre lo que es Snort, como funciona, sus

    características. De esta manera sabremos el funcionamiento

    Es un software gratuito de código abierto. También se puede utilizar como rastreador de


    paquetes para monitorizar el sistema en tiempo real. El administrador de la red puede usarlo para
    observar todos los paquetes entrantes y encontrar los que son peligrosos para el sistema.

    Se basa en la herramienta de captura de paquetes. Las reglas son bastante fáciles de crear e
    implementar y se pueden implementar en cualquier tipo de sistema operativo y entorno de red.
    La principal razón de la popularidad de este IDS sobre otros es que es un software de uso
    gratuito y también de código abierto, por lo que cualquier usuario puede usarlo de la manera que
    desee.

    Snort se basa en libpcap, una herramienta que se utiliza ampliamente en analizadores y


    rastreadores de tráfico TCP / IP. A través del análisis de protocolos, búsqueda y comparación de
    contenido, Snort detecta métodos de ataque, incluida la denegación de servicio, el
    desbordamiento del búfer, los ataques CGI, los escaneos de puertos sigilosos y las sondas SMB.
    Cuando se detecta un comportamiento sospechoso, Snort envía una alerta en tiempo real a
    syslog, un archivo de ‘alertas’ separado o a una ventana emergente.

    Componentes de Snort

    El primer componente es el decodificador, que se encarga de formar paquetes para ser utilizados
    por los demás componentes. Tiene la función de determinar qué protocolos subyacentes se
    utilizan en el paquete, así como de determinar la ubicación y el tamaño de los datos del paquete
    que luego se utilizan en componentes posteriores.

    Los siguientes componentes son los preprocesadores. Estos componentes funcionan como
    complementos y pueden organizar o modificar paquetes de datos. Esto permite que los servicios
    (como HTTP o FTP) tengan un preprocesador correspondiente para verificar anomalías
    específicas de ese servicio. Su trabajo es, en última instancia, intentar hacer más difícil engañar
    al motor de detección.

    El componente principal, el motor de detección, tiene la responsabilidad de detectar si existe


    alguna actividad de intrusión en un paquete. Para ello, encadena conjuntos de reglas,
    especificadas en archivos de configuración que incluyen estas reglas, y las aplica a cada paquete.

    Si un paquete coincide con una regla, el sistema de alerta y registro generará la alerta. Por
    supuesto, el mensaje y los contenidos generados por este componente se pueden configurar a
    través del archivo de configuración. Si un paquete activa varias reglas, el nivel de alerta más alto
    es lo que realmente generará este componente.
    Finalmente, después de que se genera una alerta o registro, pasa por el componente Módulos de
    salida. Este componente tiene la tarea de controlar el tipo de salida generada, utiliza un sistema
    de complementos que le da flexibilidad al usuario y también es altamente configurable.

    Reglas Snort

     Las reglas se pueden aplicar a los encabezados de la capa de red y transporte (IP, TCP, UDP,
    ICMP) o incluso a los encabezados de la capa de aplicación (FTP, HTTP, etc.), pero por
    supuesto, las reglas también se pueden aplicar a los paquetes de datos.

    Las reglas se componen de dos partes, un encabezado de regla, que especifica qué acción se debe
    tomar en caso de una coincidencia, el tipo de paquete (TCP, UDP, etc.), así como las direcciones
    IP de origen y destino y los números de puerto. La última parte son las Opciones de regla, que
    especifica el contenido que marca los paquetes como una coincidencia, la regla general tomará la
    siguiente forma:

     action protocol source port -> destination port (options)

    Ejemplos

    1. Alerta si el paquete contiene la palabra SEGURIDAD.

    Regla: alert ip any any -> any any (sid:1000001;msg:”Word SECURITY


    found”;content:”SECURITY”;)

    En este ejemplo, podemos notar algunas cosas:

     alert: esto nos permite activar una alerta si la regla coincide


     ip: esto permite comparar las reglas con cualquier protocolo (TCP, UDP o ICMP)
     any any -> any any: cualquier host de origen y puerto a cualquier host y puerto de destino
     sid:1000001;msg:”Word SECURITY found”: el ID de la regla y el mensaje que se
    enviará con la alerta.

    2. Alerta si un paquete de cualquier computadora a un servidor de correo contiene una sola


    palabra de texto entre comillas dobles, que comienza con una letra mayúscula y tiene
    entre cuatro y siete letras.
    Regla: alert ip any any -> any smtp (sid:1000002;msg”Double quoted text sent to mail
    server found”;pcre:”/\”[A-Z][a-zA-Z]{3,6}\”/”;)

    Aquí usamos el puerto de destino para especificar los paquetes que van a los servidores
    de correo (smtp se puede reemplazar por 25). Se requieren barras invertidas en la opción
    PCRE para escapar de las comillas. El PCRE utilizado busca cualquier cadena que
    comience con una comilla doble, seguida de una mayúscula, con un total de 4-7 letras de
    longitud, por lo tanto, la capital más 3 a 6 letras ( [a-zA-Z]{3,6}), seguida de una comilla
    doble.

    3. El rule header, es decir, la primera parte de una regla Snort, contiene los siguientes datos
    que debes ingresar:

    Action (acción).
    Protocol (protocolo).
    Source address (dirección IP de la fuente).
    Source port (puerto de la fuente).
    Direction (o dirección).
    Destination address (dirección de destino).
    Destination port (puerto de destino).

    Un ejemplo de rule header se vería del siguiente modo:

    Regla: alert icmp 000.000.0.00 any -> any any

    Aquí, cada término corresponde respectivamente a las secciones descritas más arriba.

    4. El rule option corresponde a la respuesta que debe emitir Snort cuando se cumplan las
    condiciones especificadas por el rule header. Un ejemplo de opción de regla sería:

    (msg: "ICMP Attempt Attack"; sid:0000000)

     El comando “msg” significa que la medida que tomará el programa será emitir un
    mensaje de alerta. Es decir, que esta es una regla con función de detección.
     El mensaje indica el tipo de ataque o incidente que queramos registrar. Es una de las
    ventajas de construir reglas propias, que permiten identificar ataques dirigidos.
     El “sid” es un número de identificación que podrás crear fácilmente cuando te registres
    en la plataforma de Snort.

    5. Regla Snort para alertar de un escaneo nmap del tipo TCP ping.


    alert tcp $EXTERNAL_NET any -> $HOME_NET any / (msg:»Escaneo ping con
    nmap»;flags:A;ack:0; / reference:arachnids,28;classtype:attempted-recon; sid:628;/
    rev:1;)

     Acción de la regla: alert
     Protocolo: tcp
     Direccion IP origen: $EXTERNAL_NET (toda la red)
     Puerto IP origen: any (cualquiera)
     Direccion IP destino: $HOME_NET (toda nuestra red)
     Puerto IP destino: any (cualquiera)
     Dirección de la operación: -> (puede ser ->, <-, )
     Mensaje: msg
     Opciones: flags:A;ack:0; reference:arachnids..(1)

    También podría gustarte