SlideShare una empresa de Scribd logo

Snort_IDS

Descargar como PPTX, PDF
Natalia Martinez Ramos
Natalia Martinez Ramos

El documento describe la instalación y configuración de Snort, una herramienta de detección de intrusos de código abierto. Explica cómo instalar Snort desde los repositorios de Linux, crear directorios y archivos de configuración, y editar el archivo snort.conf para especificar la red local, las reglas y la salida de logs. También cubre cómo ejecutar Snort con el comando "snort -v" para ver el tráfico de red incluyendo paquetes ICMP de ping entre un cliente y servidor.

Internet
1 de 23
ADMINISTRACIÓN DE REDES INTEGRANTES: • Martínez Ramos Natalia 11360619 • ValenciaCid Mireya 11360660 INSTITUTO TECNOLÓGICO DETEHUACÁN INGENIERÍA EN SISTEMAS COMPUTACIONALES
 SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
 Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
 La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
 Esquema del funcionamiento del decodificador de paquetes de Snort.
 El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
 El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
 1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
 1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
 Especificación de la interfaz de red que Snort escuchará
 Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
 Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
 1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
 3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
 5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
 7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
 Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
 Al terminar la ejecución del comando, se muestra un resumen de la actividad
Snort_IDS

Recomendados

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 
Firewalls
FirewallsFirewalls
Firewalls
Tensor
 
Sniffers
SniffersSniffers
Sniffers
texEduardo
 
Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewalls
seguridadelinux
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
alexleo69
 
Snort
SnortSnort
Snort
Tensor
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
Antonio Durán
 

Recomendados

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 
Firewalls
FirewallsFirewalls
Firewalls
Tensor
 
Sniffers
SniffersSniffers
Sniffers
texEduardo
 
Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewalls
seguridadelinux
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
alexleo69
 
Snort
SnortSnort
Snort
Tensor
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
Antonio Durán
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Francisco Ribadas
 
Sniffer
SnifferSniffer
Sniffer
Maura Camila Blanco
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
Carlos Antonio Leal Saballos
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
Nicolas Notempus
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
Juan Antonio Gil Martínez-Abarca
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
Rodolfo Pilas
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
millor2005
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
José Luis Andújar
 
Redes ,,,,
Redes ,,,,Redes ,,,,
Redes ,,,,
Noe Ramos
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
xavazquez
 
Nmap
NmapNmap
Nmap
Meztli Valeriano Orozco
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
ElisabetBlanco
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2
Nelson Samaniego
 
Análisis de Monitoreo
Análisis de MonitoreoAnálisis de Monitoreo
Análisis de Monitoreo
Marco Mendoza López
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
hugo.gonzalez
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORT
seguridadelinux
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
garciadebora
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregable
Karmen Arrazola
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
Francisco Medina
 
Snort
SnortSnort
Snort
Stickman Hai
 

Más contenido relacionado

La actualidad más candente

Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Francisco Ribadas
 
Sniffer
SnifferSniffer
Sniffer
Maura Camila Blanco
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
Carlos Antonio Leal Saballos
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
Nicolas Notempus
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
Juan Antonio Gil Martínez-Abarca
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
Rodolfo Pilas
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
millor2005
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
José Luis Andújar
 
Redes ,,,,
Redes ,,,,Redes ,,,,
Redes ,,,,
Noe Ramos
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
xavazquez
 
Nmap
NmapNmap
Nmap
Meztli Valeriano Orozco
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
ElisabetBlanco
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2
Nelson Samaniego
 
Análisis de Monitoreo
Análisis de MonitoreoAnálisis de Monitoreo
Análisis de Monitoreo
Marco Mendoza López
 

La actualidad más candente (15)

Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
 
Sniffer
SnifferSniffer
Sniffer
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
 
Redes ,,,,
Redes ,,,,Redes ,,,,
Redes ,,,,
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
 
Nmap
NmapNmap
Nmap
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2
 
Análisis de Monitoreo
Análisis de MonitoreoAnálisis de Monitoreo
Análisis de Monitoreo
 

Destacado

Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
hugo.gonzalez
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORT
seguridadelinux
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
garciadebora
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregable
Karmen Arrazola
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
Francisco Medina
 
Snort
SnortSnort
Snort
Stickman Hai
 
Snort
SnortSnort
Snort
bala150985
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
Ingeniería de software modelo incremental
Ingeniería de software modelo incrementalIngeniería de software modelo incremental
Ingeniería de software modelo incremental
María Inés Cahuana Lázaro
 

Destacado (10)

Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORT
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de Snort
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregable
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
Ingeniería de software modelo incremental
Ingeniería de software modelo incrementalIngeniería de software modelo incremental
Ingeniería de software modelo incremental
 

Similar a Snort_IDS

Snort
SnortSnort
Snort
Tensor
 
Snort
SnortSnort
Snort
Tensor
 
Snort
SnortSnort
Snort
Tensor
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
miss051
 
Que es un snifer
Que es un sniferQue es un snifer
Que es un snifer
Tensor
 
Q es un snifer
Q es un sniferQ es un snifer
Q es un snifer
Justino Emmanuel Ruiz Bautista
 
Firewalls
FirewallsFirewalls
Firewalls
Tensor
 
Firewalls
FirewallsFirewalls
Firewalls
Tensor
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1
Taringa!
 
Que es un snifer a
Que es un snifer aQue es un snifer a
Que es un snifer a
Tensor
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
Ramiro Estigarribia Canese
 
Proyecto
ProyectoProyecto
Proyecto
1smr07
 
Prote
ProteProte
Prote
Francisco Ribadas
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
Kandoloria
 
Sistemas
SistemasSistemas
Sistemas
1 2d
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
Feerr Sosa Hernandez
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptx
Luiga3
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
Juan Antonio Gil Martínez-Abarca
 
10.Protocolos de enrutamiento
10.Protocolos de enrutamiento10.Protocolos de enrutamiento
10.Protocolos de enrutamiento
arlett09
 
Tarea migue[1]
Tarea migue[1]Tarea migue[1]
Tarea migue[1]
Yesenia Rivera
 

Similar a Snort_IDS (20)

Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Que es un snifer
Que es un sniferQue es un snifer
Que es un snifer
 
Q es un snifer
Q es un sniferQ es un snifer
Q es un snifer
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1
 
Que es un snifer a
Que es un snifer aQue es un snifer a
Que es un snifer a
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Proyecto
ProyectoProyecto
Proyecto
 
Prote
ProteProte
Prote
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Sistemas
SistemasSistemas
Sistemas
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptx
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
 
10.Protocolos de enrutamiento
10.Protocolos de enrutamiento10.Protocolos de enrutamiento
10.Protocolos de enrutamiento
 
Tarea migue[1]
Tarea migue[1]Tarea migue[1]
Tarea migue[1]
 

Último

Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
erick502105
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
AlexanderCR12
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
jorgejhonatanaltamir1
 
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
Kevin Aguilar Garcia
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
mcavero2019
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
LuisAlbertoCordovaBa
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docxFICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
EmilyEsmeraldaQuispe
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
vicenteariana54
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
cpadua713
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
ruthechepurizaca
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
NoraRoberts5
 

Último (11)

Diapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptxDiapositiva Herramientas Web, Tema Web 3.0.pptx
Diapositiva Herramientas Web, Tema Web 3.0.pptx
 
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
5 CRITERIOS PARA EL DISEÑO DE DIAGRAMAS DE FLUJO.pptx
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
 
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
 
Clases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicosClases de Informática primaria para niños de colegios católicos
Clases de Informática primaria para niños de colegios católicos
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docxFICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
 
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente CruzattSEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
SEGURIDAD INFORMATICA- Ariana Vicente Cruzatt
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
 
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
La revolución de Netflix redefiniendo las películas, la televisión, el arte y...
 

Snort_IDS

  • 1. ADMINISTRACIÓN DE REDES INTEGRANTES: • Martínez Ramos Natalia 11360619 • ValenciaCid Mireya 11360660 INSTITUTO TECNOLÓGICO DETEHUACÁN INGENIERÍA EN SISTEMAS COMPUTACIONALES
  • 2.  SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
  • 3.  Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
  • 4.  La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
  • 5.
  • 6.  Esquema del funcionamiento del decodificador de paquetes de Snort.
  • 7.  El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
  • 8.
  • 9.  El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
  • 10.
  • 11.  1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
  • 12.  1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
  • 13.  Especificación de la interfaz de red que Snort escuchará
  • 14.  Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
  • 15.  Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
  • 16.
  • 17.  1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
  • 18.  3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
  • 19.  5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
  • 20.  7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
  • 21.  Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
  • 22.  Al terminar la ejecución del comando, se muestra un resumen de la actividad