SlideShare una empresa de Scribd logo
Experto en Administración 
y Seguridad de 
Sistemas Informáticos 
Módulo: Sistemas de Detección de Intrusos 
Profesor: Juan Antonio Gil Martínez-Abarca 
Curso Escolar: 2006/2007 
Experto en Administración y Seguridad de Sistemas Informáticos
Tabla de Contenidos 
• Snort: Sistema de detección de 
intrusos basado en Software Libre 
• Prácticas 
Experto en Administración y Seguridad de Sistemas Informáticos
Prácticas 
• Instalación 
• Personalización 
– Configurar variables 
• Ejemplos Alertas 
alert tcp any any -> $HOME_NET 666 
(msg:”¡Cuidado, mal presagio!”,) 
alert tcp $EXTERNAL_NET any -> $HOME_NET 
any (msg:”Escaneo con ping 
nmap”;flags:a;ack:0;reference:arachnids,28;cla 
sstype:attemped-recon;sid=100,rev:1;) 
alert tcp any any -> 192.168.8.0/24 111 
(content:”|00 01 86 a5|”;nocase;msg:”acceso 
mountd”;) 
Experto en Administración y Seguridad de Sistemas Informáticos
Prácticas 
• ¿Qué significa esta regla? 
alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 
80 (msg:”WEB-ATTACKS ps command 
attempt”;flags:AP;uricontent:”/bin/ps”;nocase;sid: 
1328;rev:1;classtype:web-application-attack;) 
• ¿Qué regla: 
– Registre tráfico dirigido al Web 
log tcp any any -> 192.168.8.134 80(msg:”WEB”;) 
– Tráfico ICMP de petición de eco desde el exterior de 
nuestra red al interior 
alert icmp any any -> $HOME_NET any / 
(itype:8;msg:”PING”;) 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Reglas que detecten intento de 
acceso desde red interna a los 
puertos del 1000 al 1024 TCP yUDP 
alert tcp 192.168.8.0/24 any -> any 
1000:1024 (msg:”Intento de acceso 
con TCP”;) 
alert udp 192.168.8.0/24 any -> any 
1000:1024 (msg:”Intento de acceso 
con TCP”;) 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Reglas que registre paquetes con 
peticiones DNS desde el exterior 
alert udp !192.168.8.0/24 any -> 
192.168.8.134 53 (msg:”Petición DNS”;) 
alert tcp !192.168.8.0/24 any -> 
192.168.8.134 53 (msg:”Petición 
transferencia DNS”;) 
 Para probar netcat –p 53 –l –v simula 
servidor DNS 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Regla que intente clasificar cualquier intento de 
entrada al sistema como intento de usuario 
(pista: se debe utilizar el sistema de clasificación 
que viene definido con Snort; para probarlo, use 
include /etc/snort/classification.config) y ejecutar 
ssh 
include /etc/snort/classification.config 
alert tcp any any -> any any (msg:”Intento de 
entrada”;classtype:default-login-attempt;) 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Regla que identifique ping hechos 
desde Linux y Windows 
alert icmp any any -> any any 
(msg:”Windows”;classtype:default-login- 
attempt;) 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Defina una regla que alerte de la 
búsqueda por Internet de la palabra “sex” 
por parte de los usuarios de la red interna. 
alert tcp $HOME_NET any -> any any 
(msg:”Pagina 
prohibida”;nocase;content:”sex”;) 
alert udp $HOME_NET any -> any any 
(msg:”Pagina 
prohibida”;nocase;content:”sex”;) 
• ¿Cómo se puede refinar? 
Sólo tráfico con flags ACK y PUSH activos 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Defina una regla que registre una posible 
exploración Xmas Tree de Nmap. 
alert tcp $EXTERNAL_NET any -> 
$HOME_NET any (msg:"Escaneo Xmas 
Tree nmap";flags:FPU;ack:0; 
reference:arachnids,28;classtype:attempte 
d-recon; sid:628; rev:1;) 
• Para probarla: 
• # nmap –sX –P0 192.168. 8.134 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Defina una regla que registre una 
posible exploración FIN de nmap. 
alert tcp $EXTERNAL_NET any -> 
$HOME_NET any (msg:"Escaneo FIN 
nmap";flags:F;ack:0; 
reference:arachnids,28;classtype:att 
empted-recon; sid:628; rev:1;) 
• Prueba: 
nmap –sF –P0 192.168.8.134 
Experto en Administración y Seguridad de Sistemas Informáticos
Instalación 
• Probarlos. 
• Para ello: 
– Editar el fichero de configuración y activar un fichero de reglas 
personalizadas 
– Insertar reglas. 
– Ejecutar en modo IDS 
– Ir realizando comprobaciones. 
• Nota: 
• This rule tests the TCP flags for an exact match. There are 
actually 8 flags variables available in Snort: 
– F - FIN (LSB in TCP Flags byte) 
– S - SYN 
– R - RST 
– P - PSH 
– A - ACK 
– U - URG 
– 2 - Reserved bit 2 
– 1 - Reserved bit 1 (MSB in TCP Flags byte) 
Experto en Administración y Seguridad de Sistemas Informáticos
Patrocina: 
Organiza: 
Enseñanzas Propias 
Universidad de Almería 
Escuela Politécnica Superior 
Universidad de Almería 
Experto en Administración y Seguridad de Sistemas Informáticos

Más contenido relacionado

La actualidad más candente

Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap   212027457-zenmap (1)Interesante pero mal maquetado zenmap   212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
xavazquez
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertos
Francisco Vergara
 
Clase practica seguridad escaneo con nma pf
Clase practica seguridad   escaneo con nma pfClase practica seguridad   escaneo con nma pf
Clase practica seguridad escaneo con nma pf
Robert Puican Gutierrez
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
spankito
 
Nikto
Nikto Nikto
Clase no5 acceso
Clase no5 accesoClase no5 acceso
Clase no5 acceso
concolombiagano
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
Jesus Vilchez
 
Escaneo de Puertos
Escaneo de PuertosEscaneo de Puertos
Escaneo de Puertos
arnoldvq16
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
Websec México, S.C.
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Websec México, S.C.
 
125524234-bugcon1-pdf
 125524234-bugcon1-pdf 125524234-bugcon1-pdf
125524234-bugcon1-pdf
xavazquez
 
Firewalls
FirewallsFirewalls
Firewalls
Tensor
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
Jaime Sánchez
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
RootedCON
 
S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
Luis Fernando Aguas Bucheli
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 

La actualidad más candente (18)

Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap   212027457-zenmap (1)Interesante pero mal maquetado zenmap   212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertos
 
Clase practica seguridad escaneo con nma pf
Clase practica seguridad   escaneo con nma pfClase practica seguridad   escaneo con nma pf
Clase practica seguridad escaneo con nma pf
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
 
Nikto
Nikto Nikto
Nikto
 
Clase no5 acceso
Clase no5 accesoClase no5 acceso
Clase no5 acceso
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
 
Escaneo de Puertos
Escaneo de PuertosEscaneo de Puertos
Escaneo de Puertos
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]Derrotando a changos con scanners [Paulino Calderon]
Derrotando a changos con scanners [Paulino Calderon]
 
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
Desarrollando para Nmap Scripting Engine (NSE) [GuadalajaraCON 2013]
 
125524234-bugcon1-pdf
 125524234-bugcon1-pdf 125524234-bugcon1-pdf
125524234-bugcon1-pdf
 
Firewalls
FirewallsFirewalls
Firewalls
 
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3S7-Hack-Hacking con Google Bing y Shodan P3
S7-Hack-Hacking con Google Bing y Shodan P3
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 

Similar a Snortpracticas 2006

Snort 2006
Snort 2006Snort 2006
Hacking ético con herramientas Python
Hacking ético con herramientas PythonHacking ético con herramientas Python
Hacking ético con herramientas Python
Jose Manuel Ortega Candel
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0
wcuestas
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
elvisprieto2
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
Ramiro Estigarribia Canese
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
Carlos Antonio Leal Saballos
 
Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892
Karina Gutiérrez
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
Victor M. Fernández
 
Manualnmapesp
ManualnmapespManualnmapesp
Manualnmapesp
Fes San jose
 
Nmap
NmapNmap
Tripwire 2006
Tripwire 2006Tripwire 2006
Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006
Juan Antonio Gil Martínez-Abarca
 
Curso Virtual de Nmap
Curso Virtual de NmapCurso Virtual de Nmap
Curso Virtual de Nmap
Alonso Caballero
 
06 airc firewalls
06 airc   firewalls06 airc   firewalls
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapVip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
xavazquez
 
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
Luis Sanchez
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
Biron Piña
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de Intrusión
Antonio González Castro
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
Sykrayo
 
Manual de uso de nmap
Manual de uso de nmapManual de uso de nmap
Manual de uso de nmap
noc_313
 

Similar a Snortpracticas 2006 (20)

Snort 2006
Snort 2006Snort 2006
Snort 2006
 
Hacking ético con herramientas Python
Hacking ético con herramientas PythonHacking ético con herramientas Python
Hacking ético con herramientas Python
 
Scripting para Pentesters v1.0
Scripting para Pentesters v1.0Scripting para Pentesters v1.0
Scripting para Pentesters v1.0
 
Presentacion de seguridad de la redes
Presentacion de seguridad de la redesPresentacion de seguridad de la redes
Presentacion de seguridad de la redes
 
7.herramientas de redes
7.herramientas de redes7.herramientas de redes
7.herramientas de redes
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892
 
Monitorización En OpenSolaris
Monitorización En OpenSolarisMonitorización En OpenSolaris
Monitorización En OpenSolaris
 
Manualnmapesp
ManualnmapespManualnmapesp
Manualnmapesp
 
Nmap
NmapNmap
Nmap
 
Tripwire 2006
Tripwire 2006Tripwire 2006
Tripwire 2006
 
Honeypotsprácticas2006
Honeypotsprácticas2006Honeypotsprácticas2006
Honeypotsprácticas2006
 
Curso Virtual de Nmap
Curso Virtual de NmapCurso Virtual de Nmap
Curso Virtual de Nmap
 
06 airc firewalls
06 airc   firewalls06 airc   firewalls
06 airc firewalls
 
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapVip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
 
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
SNMP males y beneficios en VoIP - Elastixcom Caracas 2016
 
Firewall y nat
Firewall y natFirewall y nat
Firewall y nat
 
Caso práctico - Test de Intrusión
Caso práctico - Test de IntrusiónCaso práctico - Test de Intrusión
Caso práctico - Test de Intrusión
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Manual de uso de nmap
Manual de uso de nmapManual de uso de nmap
Manual de uso de nmap
 

Más de Juan Antonio Gil Martínez-Abarca

Servidores web: cloud
Servidores web: cloudServidores web: cloud
Servidores web: cloud
Juan Antonio Gil Martínez-Abarca
 
Pruebas del servicio web
Pruebas del servicio webPruebas del servicio web
Pruebas del servicio web
Juan Antonio Gil Martínez-Abarca
 
Aspectos nodejs
Aspectos nodejsAspectos nodejs
Servidor web nginx
Servidor web nginxServidor web nginx
Apache
Apache Apache
Protocol HTTP
Protocol HTTPProtocol HTTP
03 asor gestión de usuarios y ldap
03 asor   gestión de usuarios y ldap03 asor   gestión de usuarios y ldap
03 asor gestión de usuarios y ldap
Juan Antonio Gil Martínez-Abarca
 
08 airc hackingbuscadores - mod
08 airc   hackingbuscadores - mod08 airc   hackingbuscadores - mod
08 airc hackingbuscadores - mod
Juan Antonio Gil Martínez-Abarca
 
Aisi 1415 06 correo
Aisi 1415 06 correoAisi 1415 06 correo
05 airc dns
05 airc   dns05 airc   dns
04 girc servicio dhcp
04 girc   servicio dhcp 04 girc   servicio dhcp
04 girc servicio dhcp
Juan Antonio Gil Martínez-Abarca
 
Honeypots2006 2007
Honeypots2006 2007Honeypots2006 2007

Más de Juan Antonio Gil Martínez-Abarca (12)

Servidores web: cloud
Servidores web: cloudServidores web: cloud
Servidores web: cloud
 
Pruebas del servicio web
Pruebas del servicio webPruebas del servicio web
Pruebas del servicio web
 
Aspectos nodejs
Aspectos nodejsAspectos nodejs
Aspectos nodejs
 
Servidor web nginx
Servidor web nginxServidor web nginx
Servidor web nginx
 
Apache
Apache Apache
Apache
 
Protocol HTTP
Protocol HTTPProtocol HTTP
Protocol HTTP
 
03 asor gestión de usuarios y ldap
03 asor   gestión de usuarios y ldap03 asor   gestión de usuarios y ldap
03 asor gestión de usuarios y ldap
 
08 airc hackingbuscadores - mod
08 airc   hackingbuscadores - mod08 airc   hackingbuscadores - mod
08 airc hackingbuscadores - mod
 
Aisi 1415 06 correo
Aisi 1415 06 correoAisi 1415 06 correo
Aisi 1415 06 correo
 
05 airc dns
05 airc   dns05 airc   dns
05 airc dns
 
04 girc servicio dhcp
04 girc   servicio dhcp 04 girc   servicio dhcp
04 girc servicio dhcp
 
Honeypots2006 2007
Honeypots2006 2007Honeypots2006 2007
Honeypots2006 2007
 

Último

SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
vicenteariana54
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
jorgejhonatanaltamir1
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
al050121024
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
NoraRoberts5
 
Oruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico magoOruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico mago
ChichipeSevillaJhost
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
Jean Apellidos
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
cpadua713
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
Angeles del Rosario Escobar Mendoza
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
LuisAlbertoCordovaBa
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
ruthechepurizaca
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
erick502105
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docxFICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
EmilyEsmeraldaQuispe
 
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdfextraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
JENNYMARITZAHUILLCAR
 
PRESENTACION TEMA COMPUESTO AROMATICOS Y
PRESENTACION TEMA COMPUESTO AROMATICOS YPRESENTACION TEMA COMPUESTO AROMATICOS Y
PRESENTACION TEMA COMPUESTO AROMATICOS Y
WillyBernab
 
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
Kevin Aguilar Garcia
 

Último (15)

SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
 
Oruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico magoOruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico mago
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
 
Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docxFICHA DE EDUCACIÓN RELIGIOSA  17 DE CTUBRE LA  oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
 
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdfextraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
 
PRESENTACION TEMA COMPUESTO AROMATICOS Y
PRESENTACION TEMA COMPUESTO AROMATICOS YPRESENTACION TEMA COMPUESTO AROMATICOS Y
PRESENTACION TEMA COMPUESTO AROMATICOS Y
 
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
 

Snortpracticas 2006

  • 1. Experto en Administración y Seguridad de Sistemas Informáticos Módulo: Sistemas de Detección de Intrusos Profesor: Juan Antonio Gil Martínez-Abarca Curso Escolar: 2006/2007 Experto en Administración y Seguridad de Sistemas Informáticos
  • 2. Tabla de Contenidos • Snort: Sistema de detección de intrusos basado en Software Libre • Prácticas Experto en Administración y Seguridad de Sistemas Informáticos
  • 3. Prácticas • Instalación • Personalización – Configurar variables • Ejemplos Alertas alert tcp any any -> $HOME_NET 666 (msg:”¡Cuidado, mal presagio!”,) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Escaneo con ping nmap”;flags:a;ack:0;reference:arachnids,28;cla sstype:attemped-recon;sid=100,rev:1;) alert tcp any any -> 192.168.8.0/24 111 (content:”|00 01 86 a5|”;nocase;msg:”acceso mountd”;) Experto en Administración y Seguridad de Sistemas Informáticos
  • 4. Prácticas • ¿Qué significa esta regla? alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:”WEB-ATTACKS ps command attempt”;flags:AP;uricontent:”/bin/ps”;nocase;sid: 1328;rev:1;classtype:web-application-attack;) • ¿Qué regla: – Registre tráfico dirigido al Web log tcp any any -> 192.168.8.134 80(msg:”WEB”;) – Tráfico ICMP de petición de eco desde el exterior de nuestra red al interior alert icmp any any -> $HOME_NET any / (itype:8;msg:”PING”;) Experto en Administración y Seguridad de Sistemas Informáticos
  • 5. Instalación • Reglas que detecten intento de acceso desde red interna a los puertos del 1000 al 1024 TCP yUDP alert tcp 192.168.8.0/24 any -> any 1000:1024 (msg:”Intento de acceso con TCP”;) alert udp 192.168.8.0/24 any -> any 1000:1024 (msg:”Intento de acceso con TCP”;) Experto en Administración y Seguridad de Sistemas Informáticos
  • 6. Instalación • Reglas que registre paquetes con peticiones DNS desde el exterior alert udp !192.168.8.0/24 any -> 192.168.8.134 53 (msg:”Petición DNS”;) alert tcp !192.168.8.0/24 any -> 192.168.8.134 53 (msg:”Petición transferencia DNS”;)  Para probar netcat –p 53 –l –v simula servidor DNS Experto en Administración y Seguridad de Sistemas Informáticos
  • 7. Instalación • Regla que intente clasificar cualquier intento de entrada al sistema como intento de usuario (pista: se debe utilizar el sistema de clasificación que viene definido con Snort; para probarlo, use include /etc/snort/classification.config) y ejecutar ssh include /etc/snort/classification.config alert tcp any any -> any any (msg:”Intento de entrada”;classtype:default-login-attempt;) Experto en Administración y Seguridad de Sistemas Informáticos
  • 8. Instalación • Regla que identifique ping hechos desde Linux y Windows alert icmp any any -> any any (msg:”Windows”;classtype:default-login- attempt;) Experto en Administración y Seguridad de Sistemas Informáticos
  • 9. Instalación • Defina una regla que alerte de la búsqueda por Internet de la palabra “sex” por parte de los usuarios de la red interna. alert tcp $HOME_NET any -> any any (msg:”Pagina prohibida”;nocase;content:”sex”;) alert udp $HOME_NET any -> any any (msg:”Pagina prohibida”;nocase;content:”sex”;) • ¿Cómo se puede refinar? Sólo tráfico con flags ACK y PUSH activos Experto en Administración y Seguridad de Sistemas Informáticos
  • 10. Instalación • Defina una regla que registre una posible exploración Xmas Tree de Nmap. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Escaneo Xmas Tree nmap";flags:FPU;ack:0; reference:arachnids,28;classtype:attempte d-recon; sid:628; rev:1;) • Para probarla: • # nmap –sX –P0 192.168. 8.134 Experto en Administración y Seguridad de Sistemas Informáticos
  • 11. Instalación • Defina una regla que registre una posible exploración FIN de nmap. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Escaneo FIN nmap";flags:F;ack:0; reference:arachnids,28;classtype:att empted-recon; sid:628; rev:1;) • Prueba: nmap –sF –P0 192.168.8.134 Experto en Administración y Seguridad de Sistemas Informáticos
  • 12. Instalación • Probarlos. • Para ello: – Editar el fichero de configuración y activar un fichero de reglas personalizadas – Insertar reglas. – Ejecutar en modo IDS – Ir realizando comprobaciones. • Nota: • This rule tests the TCP flags for an exact match. There are actually 8 flags variables available in Snort: – F - FIN (LSB in TCP Flags byte) – S - SYN – R - RST – P - PSH – A - ACK – U - URG – 2 - Reserved bit 2 – 1 - Reserved bit 1 (MSB in TCP Flags byte) Experto en Administración y Seguridad de Sistemas Informáticos
  • 13. Patrocina: Organiza: Enseñanzas Propias Universidad de Almería Escuela Politécnica Superior Universidad de Almería Experto en Administración y Seguridad de Sistemas Informáticos