Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 47 vistas

    Customización Del IDS - Semana8

    Cargado por

    mia

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Customización Del IDS - Semana8

    Cargado por

    mia
    47 vistas31 páginas

    Título original

    Customización Del IDS -Semana8

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    47 vistas31 páginas

    Customización Del IDS - Semana8

    Cargado por

    mia

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 31

    SNORT - COMO USARLO

    INTRODUCCION

     Consideramos como intruso a cualquier persona que ocasiones


    daños o interrupciones a un sistema; generalmente los sistemas
    informáticos están respaldados por sistemas de detección de
    intrusos. Los cuales ayudan a prevenir el mal manejo y uso
    indebido de la información organizacional. Lo cual logra
    recopilar dicha información de diversas fuentes de la red y el
    sistema, analizando la información que aporta los síntomas de
    problemas de seguridad y permite al usuario especificar
    respuestas entiempo real a las penetraciones. Es recomendables
    responder en esta forma a todo tipo de ataques. La meta de
    IDS es aportar una instrucción de un potencial ataque o uno
    verdadero; una intrusión o ataque definen sucesos de manera
    transitoria, por otra parte, una vulnerabilidad representa una
    exposición que abre paso a un posible ataque.
    DESARROLLO

     La necesidad de implementar sistemas de detección


    de intrusos cada día se hace más necesario en las
    organizaciones, revelando los múltiples ataques que
    se ejecutan de forma continua y se presentan en
    cualquier momento y desde cualquier lugar. Un
    sistema de detección de intrusos (IDS) hace posible
    la contención de ataques a la infraestructura
    tecnológica ya que permite el análisis y monitoreo de
    la actividad de la red, y a su vez mitiga en su modo de
    trabajo IPS los accesos no autorizados y ataques al
    sistema.
    Configuración Pruebas Analisis

    IDS- INTRUSSION DETECTION SYSTEM


    CONFIGURACIÓN DE REGLA Y SINTAXIS
     Rule headers  Opciones de la regla:
    1. alert – Rule action. Snort genera una alerta al 1. msg: «ICMP test» – Se incluirá este mensaje con la
    cuimplirse una condicion. alerta.
    2. TCP – Protocol, identifica el protocolo de 2. sid:1000001 – ID de la regla Snort. Recuerde que
    comunicación. todos los números menores a 1.000.000 están
    3. any – Source IP. Mirará todas las ip de origen reservados; por eso comenzamos con 1.000.001.
    (Puede utilizar cualquier número, siempre que sea
    4. any – Source Port. buscará en todos los puertos. mayor que 1.000.000.)
    5. -> – Dirección. Desde el origen hasta el destino. 3. rev:1 – Número de revisión. Esta opción permite
    6. $HOME_NET – Dest IP. Estamos utilizando el valor facilitar el mantenimiento de las reglas.
    de HOME_NET del archivo snort.conf, para 4. classtype:icmp-event – Clasifica la regla como
    establecer la ip de destino. «icmp-event», una de las categorías predefinidas de
    7. any – Dest Poirt. mirará todos los puertos de la red Snort. Esta opción ayuda a la organización de las
    de destino. reglas.

     Ejemplo: alert tcp 192.168.x.x any -> $HOME_NET 21 (msg: «FTP connection
    attempt»; sid:1000002; rev:1;)
    ANÁLISIS DE ALERTAS

     alert tcp 192.168.x.x any -> $HOME_NET 21


    (msg: «FTP connection attempt»; sid:1000002;
    rev:1;)
    LOS ARCHIVOS QUE DEBE PERSONALIZAR PARA QUE
    FUNCIONE EN CADA ENTORNO INFORMÁTICO DONDE
    SE DESEE IMPLEMENTAR.
    SNORT ES UNA HERRAMIENTA QUE FUNCIONA EN 4 MODOS

     Sniffer mode
     Packet loger mode
     Network Intrucions detection System (NIDS)

    Los modos de ejecución se activan dependiendo de los parámetros de ejecución que se emplean en las siguientes
    tablas podemos ver los más importantes
    PARAMETRIZACION SNORT
    PARAMETRIZACION SNORT
    PARAMETRIZACION SNORT
    LOS LOGS DE EVENTOS QUE SE
    DEBEN EVALUAR Y LAS FORMAS DE
    VISUALIZARLOS.
    TIPOS DE EVENTOS A CONSIDERAR CUANDO CONFIGURAS TU
    ADMINISTRADOR DE LOGS
    TIPOS DE LOGS
    Registros de dispositivos Los dispositivos perimetrales monitorean y regulan el tráfico hacia y desde la red.
    perimetrales Se regulan para detectar tráfico malicioso en su red, detectar errores de
    configuración de seguridad y para detectar ataques.
    Registros de eventos de Windows Los registros de eventos de Windows son un registro de todo lo que sucede en
    un sistema Windows.
    Registros de endpoint Los puntos finales son dispositivos que están conectados a través de la red y se
    comunican con otros dispositivos a través de servidores.
    Registros de aplicaciones Las Enterprises se ejecutan en varias aplicaciones, como bases de datos,
    aplicaciones de servidor web y otras aplicaciones internas para realizar funciones
    específicas.
    Registros de proxy Los servidores proxy juegan un papel importante en la red de una organización al
    proporcionar privacidad, regular el acceso y ahorrar ancho de banda.
    Registros de IoT Internet de las cosas (IoT) se refiere a una red de dispositivos físicos que
    intercambian datos con otros dispositivos en Internet.
    CONFIGURACIÓN DE SNORT EN FIREWALL PFSENSE

     Con la previa configuración e instalación del firewall, procedemos a configurar snort. El IDS/IPS Snort funciona
    con múltiples interfaces, en las cuales se monitorea todo el tráfico de red, de esta forma tiene en cuenta bases de
    datos de amenazas bloquea y reporta el tráfico maligno o los ataques que detecte. Para ello lo primero que
    debemos realizar es configurar snort:
    CONFIGURACIÓN DE SNORT:

    Paso 1Configuración de módulos :Snort


    subscriber rule: habilitar e ingresar oinkmaster
    code (sub snrot.org).Snort GLPv2 Community
    rules: Habilitamos GPlv2.• Emerging ET Open:
    Se habilita ET open.• FEODO trackert
    Bontnet C2 IP rules: La habilitamos.• Rule
    Update Settings: igual que AV, se programa la
    prioridad de actualización de reglas de Snort,
    en esta oportunidad cada 6 horas.General
    Settings: Remove Blocked host interval, Es la
    referencia a el tiempo que mantenemos
    bloqueado el host que Snort bloquea por
    tráfico maligno o ataque, en este caso será
    por 4 días.Dicho esto guardamos los cambios.
    UPDATES:

     2- En la opcion Updates, revisamos la


    correcta actualización de las librerías y
    base de datos de amenazas de Snort, de
    no se la adecuada genero la actualización.
    SNORT INTERFACES:

     - Vamos a la opcion Snort Interfaces y vamos a la


    opcion "Add"2- Proseguimos con la configuracion
    de los modulos de la siguiente manera:General
    Settings: habilitamos la interface, y seleccionamos
    la interface por donde vamos a monitorea con
    snort, en etse caso va a ser la LAN, en
    description doy una descripcion.Alert Settings:
    configuramos "Send Alerts to system logs"
    habilitamos esta opcion, dejamos los log por
    default, asi mismo habilitamos "Enable Packet
    Capture"Block Settings: la opcion "Block
    Offenders" si la habilitamos queda snort en modo
    IDS/IPS , si lo habilitamos configuramos "kill
    states" y "IP to block" que indica si bloqueamos
    el origen, el destino o los dos.White list:
    configuramos las lista de acceso, o las listas
    blancas donde guarda las exclusiones en caso de
    falso positivos, en este caso las dejamos por
    default, o las podemos personalizar.Por ultimo
    guardamos cambios.
    LAN CATEGORIES

     En la opcion de catgories configuramos las


    distintas categorias y BD de ataques de Snort,
    asi mismo las reglas automaticas tales como
    GPLv2 y Feodo tracket Botnet, esto teniendo
    en cuenta lo que deseamos monitorear y
    bloquear
    LAN RULES

     En esta opción puedo personalizar las


    distintas reglas de snort por cada
    categoría habilitada, por defecto todas las
    reglas están habilitadas.
    INICIAR SERVICIO SNORT

     Por ultimo iniciamos el servicio de snort,


    en la opcion "Snort Interfaces", iniciamos
    con play.
    PRUEBAS DE FUNCIONAMIENTO

     Para este ejercicio probaremos el IDS/IPS snort


    generando un escaneo de vulnerabilidades con las
    herramientas Nmap de manera ofusiva y Nikto, esto
    desde una maquina kali linux ubicada en la red LAN
    de la maquina, y cuyo target sera el Firewall Pfsense
    ESCANEO DE VULNERABILIDADES

     Se realiza prueba con los siguientes


    comandos:nmap --script vuln 172.18.59.1nikto
    -h 172.18.59.1

    " Estos escaneos se realizaron con la opcion en SNORT de


    Blocked Offender deshabilitada, y solo en modo IDS "
    DETECCIONES DESDE SNORT - PFSENSE

     En la opcion services > snort >Alert


    encuentro el modulo "Alert Log View " alli
    selecciono la interface en donde tengo
    configurado Snort asi mismo veo las distintas
    detecciones que ha generado Snort, al igual
    puedo excluir en caso de falsos positivo y pasra
    a las listas blancas de snort
    NMAP
    NIKTO
    POSICIÓN CRÍTICA.

     Dentro del contenido desarrollando encontramos herramientas útiles y prácticas para la vigilancia y
    monitoreo de nuestros sistemas empresariales, por medio de la facilidad de interpretación y el análisis de
    los datos registrados. Además, encontramos tácticas de manipulación informática para blindarnos de
    posibles vulnerabilidades que tenga nuestra compañía.
    REFERENCIAS
     Elisan, C. (2013). Malware, Rootkits & Botnets: A Beginner’s Guide. (pp. 234-254). McGraw-Hill.
     Zapata, C., Cubides, I. y Murcia, M. (2015). Técnicas de detección y análisis de malware en entornos corporativos
    con sistemas operativos Windows (Tesis de especialidad). (pp. 23-44). Universidad de San Buenaventura, Medellín.
     Zulueta González, Ailyn (2020) Módulo monitoreo de logs del sistema vigilante. Universidad de las Ciencias
    Informáticas. Facultad 3
     De adastra, V. T. las E. (2011, julio 1). Conceptos Básicos y Configuración de Snort – Parte I. Seguridad en
    Sistemas y Técnicas de Hacking. TheHackerWay (THW). https://thehackerway.com/2011/07/01/conceptos-
    basicos-y-configuracion-de-snort-%E2%80%93-parte-i/Informática, I. (s/f ). Implantación de un Sistema de
    Detección de. Rediris.es. Recuperado el 11 de marzo de 2023, de https://rediris.es/cert/doc/pdf/ids-
    uv.pdfPackages — IDS / IPS — configuring the snort package. (s/f ). Netgate.com. Recuperado el 11 de marzo de
    2023, de https://docs.netgate.com/pfsense/en/latest/packages/snort/setup.html
     https://es.scribd.com/document/358874914/Snort-Instalacion-y-configuracion-pdf
    GRACIAS

    También podría gustarte