Actividad 2:: Snort

Seguridad en Redes - MUSI
Manuel Sánchez Rubio
Actividad 2:
Snort
Universidad Internacional de La Rioja

Semana 8
Tema 4 - 2 (actividad 2)
T4 – Seguridad en Redes 2
Índice
► Conceptos generales de Snort: ¿qué es?, posicionamiento y

modos de uso
► Instalación y configuración
► Reglas y acciones
► Ejemplos
Conceptos generales
De Snort
¿Qués es Snort?
► Sniffer
► Captura
► Packet Logger
► Log
► Network Intrusion Detection System (NIDS) and IPS

► Análisis
Posicionamiento
► Delante del firewall

► Detrás del firewall
► Ambos casos
► Firewall + NIDS
Funcionalidad
Funcionalidad
Funcionalidad
Parámetros (I)
Parámetros (II)
Instalación y
configuración
Instalación y configuración
► Se encuentra en los repositorios de las principales distribuciones

por lo que su instalación es bastante sencilla.
► Debian y derivados:
► apt-get install snort
► La configuración esta centralizada en el fichero
► /etc/snort/snort.conf
► En el directorio /etc/snort/rules se encuentran las reglas para los
casos mas comunes, además de poder añadir nuestras propias reglas
en /etc/snort/local.rules
► El fichero /etc/snort/gen-msg.map contiene los identificadores
delas reglas predeterminadas más comunes
Snort.conf
Variables
► var: Variable general, texto.

► ipvar: IP o rango de IPs.
► portvar: puerto o rango de puertos.
Reglas y
acciones
Estructura de una regla
dirección
Cabecera Opciones
alert tcp any any -> any any (msg:“PAQUETE TCP"; sid:1000010)
acción IP origen IP destino
protocolo Puerto origen Puerto destino
Tipos de acciones
► alert – genera una alerta y guarda el paquete

► log – guarda el paquete
► pass – ignora el paquete
► activate – lanza una alerta y active otra regla
► dynamic – permanece inactiva hasta que se activa por una regla
activate. Después actúa como una regla de log.
► drop – bloquea y guarda el paquete
► reject – bloquea, guarda el paquete y envía un TCP reset si el
protocolo es TCP o un ICMP port unreachable si el protocolo es
UDP.
► sdrop – bloquea el paquete pero no lo guarda
Parámetros de una regla
► msg:”<message text>”
Mensaje que se muestra de la alerta
► gid: <generator id>
Identificador de un grupo de reglas relacionadas
► sid: <snort rules id>
Identificador único de la regla (gid+sid)
Los valores hasta 1,000,000 están reservados.
Para reglas de carácter general, no es necesario el gid (se pone por
defecto el 1)
► rev:<rev id>
Identificador de revisión (cambio) de la regla
Cada actualización o modificación de regla es una revisión. Este
parámetro no tiene sentido sin un sid previo a él.
Opciones detección en carga útil
Opciones detección en carga útil
https://www.youtube.com/watch?v=8T8XVoNqMbc
content:"GET"; offset:0; content:"downloads"; offset:13;
content:"GET"; offset: X; depth: X;
content:"GET"; distance: X; within: X;
Opciones detección en carga no útil
Opciones post-detection
Ejemplos de
uso
Ejemplos de payload
Ejemplos de no-payload
Ejemplos de post-detection
Ejemplos de ping
Actividad 2
IDS
Enunciado
Tareas
1. Definir una variable para el servidor WEB (WEB_SERV), otra para la red
local (RED_LOCAL), otra para la DMZ (RED_DMZ) y otra para todo lo que
no sea ni red local ni DMZ (RED_EXTERNA).
2. Añadir una regla que detecte el patrón GET pass.html en la parte de datos de
todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se
detecte el patrón indicado la regla lanzará una alerta con el mensaje
Detectado Ataque HTTP.
3. Añadir una nueva regla que busque la cadena pass.html entre los caracteres 5 y
261 de la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al
servidor WEB. Cuando se detecte el patrón indicado la regla lanzará una alerta
con el mensaje Detectado Intento de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte el envío de contraseñas en claro
(comando PASS) desde la red local al conectarse a servicios de transferencia
de ficheros (FTP) o de consulta de correo (POP3) en máquinas de Internet.
Cuando se detecte el patrón indicado la regla lanzará una alerta con el
mensaje Detectado uso de contraseñas en claro.
Tareas
1. Ojo con iptables. Haced un flush y política permisiva.
2. Actividad la opción -k none en Snort
3. Comenzad con archivo de configuración vacío Figura 1
4. No reescribáis los comandos copiadlos a vuestro PC
Puntuación
Acciones con una única regla (excepto la 1 requiere cuatro variables).

Sólo se puntúa la tabla de resultados.
Entrega
En tiempo y forma:
- Por la aplicación y antes de la fecha límite (revisadlo en la

aplicación)
- pdf sin enunciados, sólo la tabla con los resultados
muchas
gracias
www.unir.net

Actividad 2:: Snort

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Actividad 2:: Snort

Cargado por

Copyright:

Formatos disponibles

Seguridad en Redes - MUSI

Manuel Sánchez Rubio

Universidad Internacional de La Rioja

► Conceptos generales de Snort: ¿qué es?, posicionamiento y

► Network Intrusion Detection System (NIDS) and IPS

► Delante del firewall

► Se encuentra en los repositorios de las principales distribuciones

► var: Variable general, texto.

acción IP origen IP destino

protocolo Puerto origen Puerto destino

► alert – genera una alerta y guarda el paquete

content:"GET"; offset:0; content:"downloads"; offset:13;

content:"GET"; offset: X; depth: X;

content:"GET"; distance: X; within: X;

1. Ojo con iptables. Haced un flush y política permisiva.

2. Actividad la opción -k none en Snort

3. Comenzad con archivo de configuración vacío Figura 1

4. No reescribáis los comandos copiadlos a vuestro PC

Acciones con una única regla (excepto la 1 requiere cuatro variables).

- Por la aplicación y antes de la fecha límite (revisadlo en la

- pdf sin enunciados, sólo la tabla con los resultados

También podría gustarte