Publicidad
Check these out next
Snortpracticas 2006
13 de Nov de 2014•0 recomendaciones•385 vistas
0 recomendaciones
Sé el primero en que te guste
ver más
vistas
Total de vistas
0
En Slideshare
0
De embebidos
0
Número de embebidos
0
Denunciar
Internet
Prácticas sobre Snort para el curso de Experto en Seguridad de la Universidad de Almería - curso 2006-2007
Director Técnico en Escuela Politécnica Superior. Universidad de Alicante
Publicidad
Publicidad
Publicidad
Recomendados
Taller: Exploración de redes con NmapWebsec México, S.C.
Técnicas de escaneo masivo - 11/2013Websec México, S.C.
NmapCristian Alejandro Rojas Quintero
Pruebas de penetración nmapJuan Esteban Puerta Cano
Pentesting 101 por Paulino CalderonWebsec México, S.C.
Escaneo de puertos clase 2 complemento d 28 02-13Tensor
Snortpracticas 2006
- Experto en Administración y Seguridad de Sistemas Informáticos Módulo: Sistemas de Detección de Intrusos Profesor: Juan Antonio Gil Martínez-Abarca Curso Escolar: 2006/2007 Experto en Administración y Seguridad de Sistemas Informáticos
- Tabla de Contenidos • Snort: Sistema de detección de intrusos basado en Software Libre • Prácticas Experto en Administración y Seguridad de Sistemas Informáticos
- Prácticas • Instalación • Personalización – Configurar variables • Ejemplos Alertas alert tcp any any -> $HOME_NET 666 (msg:”¡Cuidado, mal presagio!”,) alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:”Escaneo con ping nmap”;flags:a;ack:0;reference:arachnids,28;cla sstype:attemped-recon;sid=100,rev:1;) alert tcp any any -> 192.168.8.0/24 111 (content:”|00 01 86 a5|”;nocase;msg:”acceso mountd”;) Experto en Administración y Seguridad de Sistemas Informáticos
- Prácticas • ¿Qué significa esta regla? alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:”WEB-ATTACKS ps command attempt”;flags:AP;uricontent:”/bin/ps”;nocase;sid: 1328;rev:1;classtype:web-application-attack;) • ¿Qué regla: – Registre tráfico dirigido al Web log tcp any any -> 192.168.8.134 80(msg:”WEB”;) – Tráfico ICMP de petición de eco desde el exterior de nuestra red al interior alert icmp any any -> $HOME_NET any / (itype:8;msg:”PING”;) Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Reglas que detecten intento de acceso desde red interna a los puertos del 1000 al 1024 TCP yUDP alert tcp 192.168.8.0/24 any -> any 1000:1024 (msg:”Intento de acceso con TCP”;) alert udp 192.168.8.0/24 any -> any 1000:1024 (msg:”Intento de acceso con TCP”;) Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Reglas que registre paquetes con peticiones DNS desde el exterior alert udp !192.168.8.0/24 any -> 192.168.8.134 53 (msg:”Petición DNS”;) alert tcp !192.168.8.0/24 any -> 192.168.8.134 53 (msg:”Petición transferencia DNS”;) Para probar netcat –p 53 –l –v simula servidor DNS Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Regla que intente clasificar cualquier intento de entrada al sistema como intento de usuario (pista: se debe utilizar el sistema de clasificación que viene definido con Snort; para probarlo, use include /etc/snort/classification.config) y ejecutar ssh include /etc/snort/classification.config alert tcp any any -> any any (msg:”Intento de entrada”;classtype:default-login-attempt;) Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Regla que identifique ping hechos desde Linux y Windows alert icmp any any -> any any (msg:”Windows”;classtype:default-login- attempt;) Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Defina una regla que alerte de la búsqueda por Internet de la palabra “sex” por parte de los usuarios de la red interna. alert tcp $HOME_NET any -> any any (msg:”Pagina prohibida”;nocase;content:”sex”;) alert udp $HOME_NET any -> any any (msg:”Pagina prohibida”;nocase;content:”sex”;) • ¿Cómo se puede refinar? Sólo tráfico con flags ACK y PUSH activos Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Defina una regla que registre una posible exploración Xmas Tree de Nmap. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Escaneo Xmas Tree nmap";flags:FPU;ack:0; reference:arachnids,28;classtype:attempte d-recon; sid:628; rev:1;) • Para probarla: • # nmap –sX –P0 192.168. 8.134 Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Defina una regla que registre una posible exploración FIN de nmap. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"Escaneo FIN nmap";flags:F;ack:0; reference:arachnids,28;classtype:att empted-recon; sid:628; rev:1;) • Prueba: nmap –sF –P0 192.168.8.134 Experto en Administración y Seguridad de Sistemas Informáticos
- Instalación • Probarlos. • Para ello: – Editar el fichero de configuración y activar un fichero de reglas personalizadas – Insertar reglas. – Ejecutar en modo IDS – Ir realizando comprobaciones. • Nota: • This rule tests the TCP flags for an exact match. There are actually 8 flags variables available in Snort: – F - FIN (LSB in TCP Flags byte) – S - SYN – R - RST – P - PSH – A - ACK – U - URG – 2 - Reserved bit 2 – 1 - Reserved bit 1 (MSB in TCP Flags byte) Experto en Administración y Seguridad de Sistemas Informáticos
- Patrocina: Organiza: Enseñanzas Propias Universidad de Almería Escuela Politécnica Superior Universidad de Almería Experto en Administración y Seguridad de Sistemas Informáticos
Publicidad