IDS ¿Como impementarlo con Snort?

Los IDS e IPS también son utilizados ampliamente en estos escenarios. En este caso analizaremos Snort, un IDS open source multiplataforma que se destaca por su flexibilidad. Funcionamiento de Snort Snort.

Los IDS e IPS también son utilizados ampliamente en estos escenarios. En este caso analizaremos Snort, un IDS open source multiplataforma que se destaca por su flexibilidad.

Funcionamiento de Snort

Snort permite controlar todos los paquetes que atraviesan la red en la cual se ha instalado. Estos paquetes son analizados y es posible determinar qué acciones se llevarán a cabo a partir de reglas.

El comportamiento de Snort se establece a partir de un archivo de configuración que responde al nombre de snort.conf. En este archivo se especifican las distintas opciones que delimitan como se comportará Snort y de que forma trabajará.

De esta manera, para iniciar snort en modo promiscuo y comenzar a ver los paquetes por consola, se debe ejecutar el siguiente comando:

snort –v –o [interfaz]

Una vez que snort ya se está ejecutando, podrá visualizarse en la consola todas aquellas actividades que ocurran a nivel de red. En la siguiente imagen puede visualizarse un simple ping al host, donde se indica la dirección IP de origen y destino.

snort escuchando interfaz

Asimismo, si se finaliza la ejecución de Snort en este modo, la herramienta imprime un resumen con toda la información relativa a los paquetes durante el período de ejecución de snort.

Resumen de paquetes recibidos

Reglas

Una de las funcionalidades más completas y poderosas de Snort, es la capacidad de definir reglas. En ciertos casos, es necesario configurar determinadas alertas para determinados tipos de paquetes. Es común, que frente a una vulnerabilidad explotable remotamente en algún equipo crítico, será necesario solventar la situación mediante la configuración de alguna regla hasta que la vulnerabilidad sea solucionada.

A modo de ejemplo, se creó un archivo de configuración con una regla para alertar cada vez que se reciba un paquete con el flag FIN activado, bajo la premisa de que existe algún sistema vulnerable a este tipo de paquetes. Luego con Nmap (herramienta para análisis de puertos), se ejecutó un escaneo sobre un puerto al azar con el flag FIN en 1.

regla de snort personalizada

Luego de haber ejecutado el escaneo, en las alertas (generalmente ubicado en el directorio de logs bajo la carpeta snort y sobre el archivo alerts) figura el alerta personalizado.

Alerta personalizada

En este caso sólo se estableció una regla para un alerta específico. Es posible establecer reglas para guardar determinados paquetes en logs así como también descartar aquellos paquetes que no se desea que ingresen en la red. Asimismo, Snort incluye algunas reglas predefinidas dentro del directorio de configuración bajo la carpeta rules.

Snort es una herramienta muy completa que permite realizar y controlar de muchas formas aquellos paquetes que son de interés para quien implemente el uso del mismo. Esto puede ser de gran importancia si se desea controlar el tráfico de red dentro de un entorno corporativo. Es por ello, que en futuras publicaciones profundizaremos sobre funciones más avanzadas de esta poderosa herramienta.

Fuente: https://www.welivesecurity.com/la-es/2014/01/13/primeros-pasos-implementacion-ids-snort/?utm_campaign=welivesecurity&utm_source=linkedin&utm_medium=social

¡Compártelo con tus amigos con el botón al final de la página!

Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:

android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows

Deja una respuesta

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: