Beruflich Dokumente
Kultur Dokumente
eliminar los patrones que los generan. En definitiva, pese a todas las
facilidades y automatizaciones y como casi todas las herramientas de
seguridad, es un apoyo que no puede sustituir la tarea del responsable de
seguridad que es quien debe analizar toda la informacin de forma minuciosa y
continuada. Funcionamiento del motor de Snort El motor de Snort se divide en
los siguientes componentes: Decodificador del paquete. Preprocesadores.
Motor de deteccin (Comparacin contra firmas). Loggin y sistema de alerta.
Plugins de salida. El decodificador de paquete, toma los paquetes de
diferentes tipos de interfaces de red, y prepara el paquete para ser
preprocesado o enviado al motor de deteccin. Los preprocesadores son
componentes o plugins que pueden ser usados con Snort para arreglar,
rearmar o modificar datos, antes que el motor de deteccin haga alguna
operacin para encontrar si el paquete esta siendo enviado por un intruso.
Algunos preprocesadores realizan deteccin buscando anomalas en las
cabeceras de los paquetes y generando alertas. Son muy importantes porque
preparan los datos para ser analizados contra reglas en el motor de deteccin.
El motor de deteccin es la responsable de detectar si alguna actividad de
intrusin existe en un paquete. El motor utiliza las reglas que han sido
definidas para este propsito. Las reglas (o cadenas) son macheadas contra
todos los paquetes. Si un paquete machea una regla, la accin configurada en
la misma es ejecutada. Dependiendo que detecte el motor dentro de un
paquete, el logging y sistema de alerta, se encarga de loguear o generar una
alerta. Los logs son almacenados en archivos de texto, archivos con formato
tcpdump u otro formato. Los plugins de salida toman la salida del sistema de
alerta y permiten almacenarlas en distintos formatos o reaccionar antes el
mismo. Por ejemplo: enviar emails, traps SNMP, syslog, insertar en una base de
datos, etc. Plugins de salida: Bases de datos (MySql, Postgres, etc) Syslog
XML Traps SNMP Mensajes SMB 4. COMANDOS DE SNORT Los siguientes son
los comandos que se pueden utilizar en Snort para obtener las diferentes
funcionalidades: -A Set alert mode: fast, full, console, or none //(alert file
alerts only)// -b Log packets in tcpdump format //(much faster!)// -c Use
Rules File -C Print out payloads with character data only //(no hex)// -d Dump
the Application Layer -e Display the second layer header info -E Log alert
messages to NT Eventlog. //(Win32 only)// -f Turn off fflush() calls after binary
log writes -F Read BPF filters from file -h Home network = -i Listen on
interface -I Add Interface name to alert output -k Checksum mode //
(all,noip,notcp,noudp,noicmp,none)// -l Log to directory -L Log to this
tcpdump file -n Exit after receiving packets -N Turn off logging (alerts still
work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the
logged IP addresses -p Disable promiscuous mode sniffing -P Set explicit
snaplen of packet //(default: 1514)// -q Quiet. Don't show banner and status
report -r Read and process tcpdump file -R Include 'id' in snort_intf.pid file
name -s Log alert messages to syslog -S Set rules file variable n equal to
value v -T Test and report on the current Snort configuration -U Use UTC for
timestamps -v Be verbose -V Show version number -W Lists available
3.
En este paso pide la direccin de red local (la cual va a ser la que se estar
monitoreando). En este punto puede haber 3 opciones de configuracin: Si es
una nica direccin se colocar con mscara de sub red /32 Si es un bloque
de 256 IPs se utilizar la mscara /24 Si es una red ms amplia se utilizar la
mscara /16 4. Una vez finalizado el proceso de instalacin se puede realizar la
configuracin completa por medio del comando.
Con lo cual se nota que la interface necesaria en la wlan0 (ya que la conexin
se est realizando de manera inalmbrica). 7. En la siguiente opcin se escribe
la interface obtenida en la anterior instruccin
Modo Promiscuo significa que se analizar todos los paquetes que pasen por el
segmento aunque no sean de una conexin propia.
2. Ejecutamos snort