ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Trabajo: Sistema de Detección de Intrusos (IDS). Snort


Enviado por   •  7 de Junio de 2021  •  Documentos de Investigación  •  686 Palabras (3 Páginas)  •  142 Visitas

Página 1 de 3

Asignatura

Datos del alumno

Fecha

Seguridad en redes

Apellidos: Lazaro Reyes

 15/02/2021

Nombre: Isaac

Actividades[pic 1]

Trabajo: Sistema de Detección de Intrusos (IDS). Snort

Un servidor en el que se encuentra instalado Snort está monitorizando todo el tráfico de la subred 172.16.0.0 con máscara 255.255.0.0. En adelante nos vamos a referir a esta subred como subred_A. El alumno debe escribir las reglas de Snort que permitan registrar los siguientes eventos:

  1. La palabra GET se utiliza en el protocolo HTTP para indicar un recurso a descargar y aparece siempre al inicio de los mensajes. Introduce una regla en snort que detecte el patrón «GET» en la parte de datos de todos los paquetes TCP que abandonan la subred_A y van a una dirección que no forma parte de la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectado GET».

Primero que nada, debemos instalar los servicios de snort; para ello primero hay que actualizar el sistema, con los siguientes comandos

#apt-get update

#apt-get upgrade

#apt-get install snort

Una vez instalado snort accedemos al archivo de configuraciones snort.conf para definir la variable subred_A. Este archivo s eencuentra localizado en la dirección: /etc/snort. Dentro del archivo de configuración hay un apartado en donde se encuentran definidas unas variables predetermidas del servicio, ahí ingresamos nuestra variable.

[pic 2][pic 3]

Teniendo en cuenta lo anterior, procedemos a escribir la regla, que puede alojarse en el archivo local.rules, ubicado en /etc/snort/rules. *He usado el editor de texto geany para toda esta operación. La sintaxis de la regla consiste en mandar una alerta si los paquetes que salen de la subred_A hacia cualquier dirección, de cualquier puerto, y que contenga el patrón GET, y la alerta enviará un mensaje GET DETECTED, al final se agrega una identificación de la regla (sdi), de manera obligatoria ya que manda error si se omite.[pic 4]

[pic 5]

Después reiniciamos el servicio snort, y analizamos que no hay ningún error en la ejecución.[pic 6][pic 7]

  1. Introduce una regla que intente buscar la palabra «HTTP» entre los caracteres 4 y 40 de la parte de datos de cualquier paquete TCP con origen en la subred_A y van a una dirección que no forma parte de la subred_A. En el fichero de log, el registro debe contener el mensaje «Detectado HTTP».

Realizamos el mismo procedimiento en cuanto a la modificación del archivo local.rules [pic 8][pic 9]

La sintaxis es similar, en esta ocasión negamos la dirección de la red subred_A, para indicar que cualquier paquete que se transporte fuera de esa red, es el que será analizado, y mandará una alerta si encuentra la palabra HTTP entre los caracteres 4 y 40. Asignamos un número de regla, agrego que seleccionamos los números después del millón, debido a que los números anteriores, han sido ocupados en los archivos de reglas que se encuentran en snort.conf.

...

Descargar como (para miembros actualizados)  txt (4.5 Kb)   pdf (834.8 Kb)   docx (595.9 Kb)  
Leer 2 páginas más »
Disponible sólo en Clubensayos.com