Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Detección de
Intrusos
Índice
I. Introducción ............................................................................................. 2
II. Objetivos ................................................................................................. 2
III. Liberación de Firewall para Corrida de Regalas de IDS .......................... 3
A. Revisión de reglas configuradas en iptables ........................................ 3
B. Liberar firewall a una política permisiva en iptables.............................. 3
IV. Instalación IDS Snort ............................................................................... 4
A. Actualización del sistema con el comando apt-get update ................... 4
B. Upgrade del sistema Debian con el comando apt-get upgrade -y ........ 4
C. Instalación IDS Snort con el commando apt-get install snort ................ 4
V. Habilitación de Servidor FTP en dmzb .................................................... 5
VI. Configuración Reglas IDS Snort .............................................................. 6
A. Punto 1 – Definición de variables para IDS Snort ................................. 6
B. Punto 2 – Regla de detección en paquetes HTTP ................................ 6
C. Prueba Punto 2 regla de detección en paquetes HTML ....................... 7
D. Punto 3 – Regla de detección de pass.html en cadena de texto .......... 7
E. Prueba Punto 3 regla de pass.html en cadena de texto ....................... 8
F. Punto 4 – Regla de Detección “Pass” en FTP y POP3 ......................... 8
G. Prueba Punto 4 regla de detección “Pass” en FTP y POP3 ................. 9
VII. Tabla de Reglas en IDS Snort ............................................................... 10
VIII. Conclusión ............................................................................................ 11
I. Introducción
II. Objetivos
Acción Regla
ipvar WEB_SERV [10.5.1.10]
1. Definir una variable para el servidor
WEB (WEB_SERV), otra para la red
ipvar RED_LOCAL [10.5.2.0/24]
interna (RED_LOCAL), otra para la DMZ
(RED_DMZ) y otra para todo lo que no
ipvar RED_DMZ [10.5.1.0/24]
sea ni red interna ni DMZ
(RED_EXTERNA).
ipvar RED_EXTERNA [10.5.0.0/24]
2. Añadir una regla que detecte el patrón
GET pass.html en la parte de datos de
alert tcp any any -> $WEB_SERV
todos los paquetes HTTP (puerto 80)
80 (msg:"Se Detecto Un Ataque
dirigidos al servidor WEB. Cuando se
HTTP"; content:"GET pass.html";
detecte el patrón indicado la regla
nocase; sid:10002;)
lanzará una alerta con el mensaje
Detectado Ataque HTTP.
3. Añadir una nueva regla que busque la
cadena pass.html entre los caracteres 5 y
alert tcp any any -> $WEB_SERV
261 de la parte de datos de todos los
80 (msg:"Se Detecto Un Intento de
paquetes HTTP (puerto 80) dirigidos al
Acceso al Fichero pass.html";
servidor WEB. Cuando se detecte el
content:"pass.html"; offset:5;
patrón indicado la regla lanzará una
depth:261; s$
alerta con el mensaje Detectado Intento
de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte
el envío de contraseñas en claro
(comando PASS) desde la red interna al
alert tcp $RED_LOCAL any -> any
conectarse a servicios de transferencia
[21,110] (pcre:"/PASS/i";msg:"Se
de ficheros (FTP) o de consulta de correo
Detecto Uso de Contrasenas en
(POP3) en máquinas de Internet. Cuando
Claro";sid:100004)
se detecte el patrón indicado la regla
lanzará una alerta con el mensaje
Detectado uso de contraseñas en claro.
Tabla 1. Reglas Snort.
VIII. Conclusión