Scribd
Cargar
174 vistas18 páginas

Tarea de Redes 28-06-22

1. El documento presenta un sistema de detección de intrusos utilizando Snort. Se realiza la instalación y configuración de Snort permitiendo la detección de ataques a través de reglas. 2. Se definen variables para las redes y se añaden reglas para detectar intentos de acceso no autorizados a archivos y el envío de contraseñas en texto plano. 3. Snort es una herramienta gratuita y versátil pero puede ser disruptiva y ralentizar el rendimiento de la red si no se configura

Cargado por

victor davila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
174 vistas18 páginas

Tarea de Redes 28-06-22

1. El documento presenta un sistema de detección de intrusos utilizando Snort. Se realiza la instalación y configuración de Snort permitiendo la detección de ataques a través de reglas. 2. Se definen variables para las redes y se añaden reglas para detectar intentos de acceso no autorizados a archivos y el envío de contraseñas en texto plano. 3. Snort es una herramienta gratuita y versátil pero puede ser disruptiva y ralentizar el rendimiento de la red si no se configura

Cargado por

victor davila
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 18

Universidad Internacional de La Rioja

Facultad de Educación

DOCUMENTO

SISTEMA DE DETECCION DE INTRUSOS


Presentado por: VICTOR REYNALDO DAVILA MATTOS
Línea de investigación: SEGURIDAD EN REDES
Docente: Sergio Sentecal Guerrero

Instalación de Snort Iniciamos con la configuración de nuestro firewall permitiendo y fortaleciendo


para permitir realizar la instalación de Snort permitiendo las siguientes Iptables.

Con esto comprobamos que podemos salir a internet dando ping www.google.com
Ahora procedemos a realizar la actualización de las librerías de nuestro Linux

Instalacion de los paquetes de dependencia para instalar snort


Creacion de folder de repositorio con el comando

mkdir /actividad2_snort && cd /actividad2_snort

Iniciar instalacion del snort mediante el comando

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

Comando para descomprimir

tar xvzf daq-2.0.7.tar.gz

tar xvzf snort-2.9.20.tar.gz


Intastalar ambos paquetes con el comando respectivo desde el folder en cd
Dandole permisos a los directorios
Seguimos configurando el Snort

Configuracion de rutas donde se va guardar las reglas


Configuracion de que reglas se va habilitar
Definicion de una variable para la red local (RED_LOCAL),

otra para la DMZ (RED_DMZ)

y otra para todo lo que no sea ni red local ni DMZ (RED_EXTERNA)


Esta configuracion permite no alterar los archivos de configuracion de Snort.com

Verificacion que la regla no tiene ningun tipo de ERROR


Regla que detecta el patron get GET pass.html en la parte de datos de todos los paquetes
HTTP (puerto 80) que van dirigidos hacia el servidor WEB. Cuando se detecte el patron se
lanzara una alerta con el mensaje se ah detectado una ataque http

alert tcp any any ->10.5.1.10 80(content:”GET pass.html”;msg:” Se ha detectado ataque


HTTP”;sid:1;)

Se decide añadir una regla que busque la cadena pass.html entre los caracteres 5 y 261 de
la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB.
Cuando se detecte el patrón indicado la regla lanzará una alerta con el mensaje Detectado
Intento de Acceso al fichero pass.html.

alert tcp RED_EXTERNA any -> RED_DMZ 80 (msg: "Detectado Intento de

Acceso al fichero pass.html"; content: "pass.html"; offset:5; depth:261;

sid:1000002;)
Decides añadir una regla de Snort que detecte el envío de contraseñas en claro (comando PASS)
desde la red local al conectarse a servicios de transferencia de ficheros (FTP) o de consulta de
correo (POP3) en máquinas de Internet. Cuando se detecte el patrón indicado la regla lanzará una
alerta con el mensaje Detectado uso de contraseñas en claro.

alert tcp $RED_LOCAL any ->$RED_EXTERNA 21.110(msg:”Detectado uso de contraseñas

enclaro”;content:”PASS”;)
Se comprueba el funcionamiento de la Regla usando Inta

echo “GET /pass.html http/1.1\r\nHost: 10.5.1.10\r\n\r\n” | nc dmza 80


Acción Regla
ipvar WEB_SERV [10.5.1.10]

1. Definir una variable para el servidor WEB ipvar RED_LOCAL [10.5.2.0/24]


(WEB_SERV), otra para la red interna
(RED_LOCAL), otra para la DMZ
(RED_DMZ) y otra para todo lo que no sea ni ipvar RED_DMZ [10.5.1.0/24]
red interna ni DMZ (RED_EXTERNA).
ipvar
RED_EXTERNA[!$RED_LOCAL,!$RED_DMZ]
2. Añadir una regla que detecte el patrón GET
pass.html en la parte de datos de todos los alert tcp any any ->10.5.1.10 80(content:”GET
paquetes HTTP (puerto 80) dirigidos al
servidor WEB. Cuando se detecte el patrón pass.html”;msg:” Se ha detectado ataque
indicado la regla lanzará una alerta con el HTTP”;sid:1;)
mensaje Detectado Ataque HTTP.
alert tcp RED_EXTERNA any -> RED_DMZ
3. Añadir una nueva regla que busque la 80 (msg: "Detectado Intento de
cadena pass.html entre los caracteres 5 y 261
de la parte de datos de todos los paquetes Acceso al fichero pass.html"; content:
HTTP (puerto 80) dirigidos al servidor WEB. "pass.html"; offset:5; depth:261;
Cuando se detecte el patrón indicado la regla
lanzará una alerta con el mensaje Detectado sid:1000002;)
Intento de Acceso al fichero pass.html.

4. Añadir una regla de Snort que detecte el alert tcp $RED_LOCAL any -
envío de contraseñas en claro (comando >$RED_EXTERNA
PASS) desde la red interna al conectarse a
servicios de transferencia de ficheros (FTP) o [21.110](msg:”Detectado uso de contraseñas
de consulta de correo (POP3) en máquinas de
Internet. Cuando se detecte el patrón indicado enclaro”;content:”PASS”;)
la regla lanzará una alerta con el mensaje
Detectado uso de contraseñas en claro.

ALGUNOS EJEMPLOS DE REGLAS DE SNORT


Seguridad
Alerta si el paquete contiene la palabra SEGURIDAD.

Regla: alert ip any -> any (sid:1000001;msg:”Word SECURITY found”;content:”SECURITY”;)

En este ejemplo, podemos notar algunas cosas:

 alert: esto nos permite activar una alerta si la regla coincide


 ip: esto permite comparar las reglas con cualquier protocolo (TCP, UDP o ICMP)
 any -> any: cualquier host de origen y puerto a cualquier host y puerto de destino
 sid:1000001;msg:”Word SECURITY found”: el ID de la regla y el mensaje que se enviará con
la alerta.

CONCLUCIONES

En conclusiones Snort es un programa de software que utilizamos para detectar y a su vez

diagnosticar actividades maliciosas en la red este programa también está de forma gratuitita

en internet y es una herramienta muy versátil. Hay muchas ventajas de usar Snort. Uno de

los principales beneficios de usar Snort es que es versátil. Snort se puede utilizar para

detectar una amplia gama de actividades maliciosas, incluido malware, amenazas de correo

electrónico y ataques basados en la web.

También hay una serie de desventajas al usar Snort. Una de las principales desventajas de

usar Snort es que puede ser disruptivo. Snort puede ser muy intrusivo y puede ralentizar el

rendimiento de una red. Además, Snort puede ser costoso. Yo de mi parte Recomendaría

usar Snort si la red es vulnerable a ataques. También recomendaría usar Snort si la

organización quiere protegerse de actividades maliciosas.


Referencias
agudo, M. (14 de mayo de 2016). https://openwebinars.net/blog/que-es-snort/. Obtenido de
openwebinars.

ATICO34. (s.f.). Obtenido de https://protecciondatos-lopd.com/empresas/snort-deteccion-


intrusos/.

ECURED. (s.f.). https://www.ecured.cu/Snort. Obtenido de https://www.ecured.cu/Snort

Hernández, R. F. (18 de julio de 2020). https://www.cisco.com/c/dam/r/es/la/internet-of-


everything-ioe/assets/pdfs/en-05_campus-wireless_wp_cte_es-xl_42333.pdf.

Patilla, H. J. (01 de septiembre de 2021). http://scielo.sld.cu/scielo.php?


script=sci_arttext&pid=S2227-18992021000300055.

También podría gustarte