Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tarea Sistema de Deteccion de Intrusos Victor Davila

    Cargado por

    victor davila
    8 vistas17 páginas

    Título original

    TAREA SISTEMA DE DETECCION DE INTRUSOS VICTOR DAVILA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    8 vistas17 páginas

    Tarea Sistema de Deteccion de Intrusos Victor Davila

    Cargado por

    victor davila

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 17

    Universidad Internacional de La Rioja

    Facultad de Educación

    DOCUMENTO

    SISTEMA DE DETECCION DE INTRUSOS

    Presentado por: VICTOR REYNALDO DAVILA MATTOS


    Línea de investigación: SEGURIDAD EN REDES
    Docente: Sergio Sentecal Guerrero
    Instalación de Snort Iniciamos con la configuración de nuestro firewall permitiendo y fortaleciendo
    para permitir realizar la instalación de Snort permitiendo las siguientes Iptables.

    Con esto comprobamos que podemos salir a internet dando ping www.google.com
    Ahora procedemos a realizar la actualización de las librerías de nuestro Linux

    Instalacion de los paquetes de dependencia para instalar snort


    Creacion de folder de repositorio con el comando

    mkdir /actividad2_snort && cd /actividad2_snort


    Iniciar instalacion del snort mediante el comando

    wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz

    wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
    Comando para descomprimir

    tar xvzf daq-2.0.7.tar.gz

    tar xvzf snort-2.9.20.tar.gz

    Intastalar ambos paquetes con el comando respectivo desde el folder en cd


    Dandole permisos a los directorios
    Seguimos configurando el Snort

    Configuracion de rutas donde se va guardar las reglas


    Configuracion de que reglas se va habilitar
    Definicion de una variable para la red local (RED_LOCAL),

    otra para la DMZ (RED_DMZ)

    y otra para todo lo que no sea ni red local ni DMZ (RED_EXTERNA)


    Esta configuracion permite no alterar los archivos de configuracion de Snort.com

    Verificacion que la regla no tiene ningun tipo de ERROR


    Regla que detecta el patron get GET pass.html en la parte de datos de todos los paquetes
    HTTP (puerto 80) que van dirigidos hacia el servidor WEB. Cuando se detecte el patron se
    lanzara una alerta con el mensaje se ah detectado una ataque http

    alert tcp any any ->10.5.1.10 80(content:”GET pass.html”;msg:” Se ha detectado ataque


    HTTP”;sid:1;)

    Se decide añadir una regla que busque la cadena pass.html entre los caracteres 5 y 261 de
    la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB.
    Cuando se detecte el patrón indicado la regla lanzará una alerta con el mensaje Detectado
    Intento de Acceso al fichero pass.html.

    alert tcp RED_EXTERNA any -> RED_DMZ 80 (msg: "Detectado Intento de

    Acceso al fichero pass.html"; content: "pass.html"; offset:5; depth:261;

    sid:1000002;)
    Decides añadir una regla de Snort que detecte el envío de contraseñas en claro (comando PASS)
    desde la red local al conectarse a servicios de transferencia de ficheros (FTP) o de consulta de
    correo (POP3) en máquinas de Internet. Cuando se detecte el patrón indicado la regla lanzará una
    alerta con el mensaje Detectado uso de contraseñas en claro.

    alert tcp $RED_LOCAL any ->$RED_EXTERNA 21.110(msg:”Detectado uso de contraseñas

    enclaro”;content:”PASS”;)
    Se comprueba el funcionamiento de la Regla usando Inta

    echo “GET /pass.html http/1.1\r\nHost: 10.5.1.10\r\n\r\n” | nc dmza 80


    Acción Regla
    ipvar WEB_SERV [10.5.1.10]

    1. Definir una variable para el servidor WEB ipvar RED_LOCAL [10.5.2.0/24]


    (WEB_SERV), otra para la red interna
    (RED_LOCAL), otra para la DMZ ipvar RED_DMZ [10.5.1.0/24]
    (RED_DMZ) y otra para todo lo que no sea ni
    red interna ni DMZ (RED_EXTERNA). ipvar

    RED_EXTERNA[!$RED_LOCAL,!$RED_DMZ]
    2. Añadir una regla que detecte el patrón GET alert tcp any any ->10.5.1.10 80(content:”GET
    pass.html en la parte de datos de todos los
    paquetes HTTP (puerto 80) dirigidos al
    pass.html”;msg:” Se ha detectado ataque
    servidor WEB. Cuando se detecte el patrón
    indicado la regla lanzará una alerta con el
    mensaje Detectado Ataque HTTP. HTTP”;sid:1;)
    alert tcp RED_EXTERNA any -> RED_DMZ
    3. Añadir una nueva regla que busque la 80 (msg: "Detectado Intento de
    cadena pass.html entre los caracteres 5 y 261
    de la parte de datos de todos los paquetes Acceso al fichero pass.html"; content:
    HTTP (puerto 80) dirigidos al servidor WEB. "pass.html"; offset:5; depth:261;
    Cuando se detecte el patrón indicado la regla
    lanzará una alerta con el mensaje Detectado sid:1000002;)
    Intento de Acceso al fichero pass.html.

    4. Añadir una regla de Snort que detecte el alert tcp $RED_LOCAL any -
    envío de contraseñas en claro (comando PASS) >$RED_EXTERNA
    desde la red interna al conectarse a servicios de
    transferencia de ficheros (FTP) o de consulta [21.110](msg:”Detectado uso de contraseñas
    de correo (POP3) en máquinas de Internet.
    Cuando se detecte el patrón indicado la regla enclaro”;content:”PASS”;)
    lanzará una alerta con el mensaje Detectado
    uso de contraseñas en claro.
    ALGUNOS EJEMPLOS DE REGLAS DE SNORT

    Seguridad
    Alerta si el paquete contiene la palabra SEGURIDAD.

    Regla: alert ip any -> any (sid:1000001;msg:”Word SECURITY found”;content:”SECURITY”;)

    En este ejemplo, podemos notar algunas cosas:

     alert: esto nos permite activar una alerta si la regla coincide


     ip: esto permite comparar las reglas con cualquier protocolo (TCP, UDP o ICMP)
     any -> any: cualquier host de origen y puerto a cualquier host y puerto de destino
     sid:1000001;msg:”Word SECURITY found”: el ID de la regla y el mensaje que se enviará con
    la alerta.

    CONCLUCIONES

    En conclusiones Snort es un programa de software que utilizamos para detectar y a su vez

    diagnosticar actividades maliciosas en la red este programa también está de forma gratuitita

    en internet y es una herramienta muy versátil. Hay muchas ventajas de usar Snort. Uno de los

    principales beneficios de usar Snort es que es versátil. Snort se puede utilizar para detectar

    una amplia gama de actividades maliciosas, incluido malware, amenazas de correo

    electrónico y ataques basados en la web.

    También hay una serie de desventajas al usar Snort. Una de las principales desventajas de

    usar Snort es que puede ser disruptivo. Snort puede ser muy intrusivo y puede ralentizar el

    rendimiento de una red. Además, Snort puede ser costoso. Yo de mi parte Recomendaría usar

    Snort si la red es vulnerable a ataques. También recomendaría usar Snort si la organización

    quiere protegerse de actividades maliciosas.


    Referencias
    agudo, M. (14 de mayo de 2016). https://openwebinars.net/blog/que-es-snort/. Obtenido de
    openwebinars.

    ATICO34. (s.f.). Obtenido de https://protecciondatos-lopd.com/empresas/snort-deteccion-


    intrusos/.

    ECURED. (s.f.). https://www.ecured.cu/Snort. Obtenido de https://www.ecured.cu/Snort

    Hernández, R. F. (18 de julio de 2020). https://www.cisco.com/c/dam/r/es/la/internet-of-


    everything-ioe/assets/pdfs/en-05_campus-wireless_wp_cte_es-xl_42333.pdf.

    Patilla, H. J. (01 de septiembre de 2021).


    http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992021000300055.

    También podría gustarte