Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tarea Sistema de Deteccion de Intrusos Victor Davila
Tarea Sistema de Deteccion de Intrusos Victor Davila
Facultad de Educación
DOCUMENTO
Con esto comprobamos que podemos salir a internet dando ping www.google.com
Ahora procedemos a realizar la actualización de las librerías de nuestro Linux
wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz
Comando para descomprimir
Se decide añadir una regla que busque la cadena pass.html entre los caracteres 5 y 261 de
la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB.
Cuando se detecte el patrón indicado la regla lanzará una alerta con el mensaje Detectado
Intento de Acceso al fichero pass.html.
sid:1000002;)
Decides añadir una regla de Snort que detecte el envío de contraseñas en claro (comando PASS)
desde la red local al conectarse a servicios de transferencia de ficheros (FTP) o de consulta de
correo (POP3) en máquinas de Internet. Cuando se detecte el patrón indicado la regla lanzará una
alerta con el mensaje Detectado uso de contraseñas en claro.
enclaro”;content:”PASS”;)
Se comprueba el funcionamiento de la Regla usando Inta
RED_EXTERNA[!$RED_LOCAL,!$RED_DMZ]
2. Añadir una regla que detecte el patrón GET alert tcp any any ->10.5.1.10 80(content:”GET
pass.html en la parte de datos de todos los
paquetes HTTP (puerto 80) dirigidos al
pass.html”;msg:” Se ha detectado ataque
servidor WEB. Cuando se detecte el patrón
indicado la regla lanzará una alerta con el
mensaje Detectado Ataque HTTP. HTTP”;sid:1;)
alert tcp RED_EXTERNA any -> RED_DMZ
3. Añadir una nueva regla que busque la 80 (msg: "Detectado Intento de
cadena pass.html entre los caracteres 5 y 261
de la parte de datos de todos los paquetes Acceso al fichero pass.html"; content:
HTTP (puerto 80) dirigidos al servidor WEB. "pass.html"; offset:5; depth:261;
Cuando se detecte el patrón indicado la regla
lanzará una alerta con el mensaje Detectado sid:1000002;)
Intento de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte el alert tcp $RED_LOCAL any -
envío de contraseñas en claro (comando PASS) >$RED_EXTERNA
desde la red interna al conectarse a servicios de
transferencia de ficheros (FTP) o de consulta [21.110](msg:”Detectado uso de contraseñas
de correo (POP3) en máquinas de Internet.
Cuando se detecte el patrón indicado la regla enclaro”;content:”PASS”;)
lanzará una alerta con el mensaje Detectado
uso de contraseñas en claro.
ALGUNOS EJEMPLOS DE REGLAS DE SNORT
Seguridad
Alerta si el paquete contiene la palabra SEGURIDAD.
CONCLUCIONES
diagnosticar actividades maliciosas en la red este programa también está de forma gratuitita
en internet y es una herramienta muy versátil. Hay muchas ventajas de usar Snort. Uno de los
principales beneficios de usar Snort es que es versátil. Snort se puede utilizar para detectar
También hay una serie de desventajas al usar Snort. Una de las principales desventajas de
usar Snort es que puede ser disruptivo. Snort puede ser muy intrusivo y puede ralentizar el
rendimiento de una red. Además, Snort puede ser costoso. Yo de mi parte Recomendaría usar