Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividad 2:
Snort
T4 – Seguridad en Redes 2
Índice
T4 – Seguridad en Redes 3
Conceptos generales
De Snort
T4 – Seguridad en Redes 4
¿Qués es Snort?
► Sniffer
► Captura
► Packet Logger
► Log
T4 – Seguridad en Redes 5
Posicionamiento
T4 – Seguridad en Redes 6
Funcionalidad
T4 – Seguridad en Redes 7
Funcionalidad
T4 – Seguridad en Redes 8
Funcionalidad
T4 – Seguridad en Redes 9
Parámetros (I)
T4 – Seguridad en Redes 10
Parámetros (II)
T4 – Seguridad en Redes 11
Instalación y
configuración
T4 – Seguridad en Redes 12
Instalación y configuración
T4 – Seguridad en Redes 13
Snort.conf
T4 – Seguridad en Redes 14
Variables
T4 – Seguridad en Redes 15
Reglas y
acciones
T4 – Seguridad en Redes 16
Estructura de una regla
dirección
Cabecera Opciones
alert tcp any any -> any any (msg:“PAQUETE TCP"; sid:1000010)
T4 – Seguridad en Redes 17
Tipos de acciones
T4 – Seguridad en Redes 18
Parámetros de una regla
► msg:”<message text>”
Mensaje que se muestra de la alerta
► gid: <generator id>
Identificador de un grupo de reglas relacionadas
► sid: <snort rules id>
Identificador único de la regla (gid+sid)
Los valores hasta 1,000,000 están reservados.
Para reglas de carácter general, no es necesario el gid (se pone por
defecto el 1)
► rev:<rev id>
Identificador de revisión (cambio) de la regla
Cada actualización o modificación de regla es una revisión. Este
parámetro no tiene sentido sin un sid previo a él.
T4 – Seguridad en Redes 19
Opciones detección en carga útil
T4 – Seguridad en Redes 20
Opciones detección en carga útil
https://www.youtube.com/watch?v=8T8XVoNqMbc
T4 – Seguridad en Redes 21
Opciones detección en carga no útil
T4 – Seguridad en Redes 22
Opciones post-detection
T4 – Seguridad en Redes 23
Ejemplos de
uso
T4 – Seguridad en Redes 24
Ejemplos de payload
T4 – Seguridad en Redes 25
Ejemplos de no-payload
T4 – Seguridad en Redes 26
Ejemplos de post-detection
T4 – Seguridad en Redes 27
Ejemplos de ping
T4 – Seguridad en Redes 28
Actividad 2
IDS
T4 – Seguridad en Redes 29
Enunciado
T4 – Seguridad en Redes 30
Tareas
1. Definir una variable para el servidor WEB (WEB_SERV), otra para la red
local (RED_LOCAL), otra para la DMZ (RED_DMZ) y otra para todo lo que
no sea ni red local ni DMZ (RED_EXTERNA).
2. Añadir una regla que detecte el patrón GET pass.html en la parte de datos de
todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se
detecte el patrón indicado la regla lanzará una alerta con el mensaje
Detectado Ataque HTTP.
3. Añadir una nueva regla que busque la cadena pass.html entre los caracteres 5 y
261 de la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al
servidor WEB. Cuando se detecte el patrón indicado la regla lanzará una alerta
con el mensaje Detectado Intento de Acceso al fichero pass.html.
4. Añadir una regla de Snort que detecte el envío de contraseñas en claro
(comando PASS) desde la red local al conectarse a servicios de transferencia
de ficheros (FTP) o de consulta de correo (POP3) en máquinas de Internet.
Cuando se detecte el patrón indicado la regla lanzará una alerta con el
mensaje Detectado uso de contraseñas en claro.
T4 – Seguridad en Redes 31
Tareas
T4 – Seguridad en Redes 32
Puntuación
T4 – Seguridad en Redes 33
Entrega
En tiempo y forma:
T4 – Seguridad en Redes 34
muchas
gracias
www.unir.net