SlideShare ist ein Scribd-Unternehmen logo

Snort

Als PPTX, PDF herunterladen
Tensor
Tensor

Snort es una herramienta de código abierto para detección de intrusiones que funciona capturando y analizando paquetes de red. Usa preprocesadores y reglas para identificar tráfico malicioso y generar alertas. Se compone de un decodificador de paquetes, preprocesador, motor de detección y sistema de alertas. Proporciona capacidades de monitoreo de red, detección de intrusiones y generación de informes.

Bildung
1 von 23
 SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
 Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
 La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
 Esquema del funcionamiento del decodificador de paquetes de Snort.
 El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
 El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
 1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
 1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
 Especificación de la interfaz de red que Snort escuchará
 Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
 Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
 1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
 3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
 5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
 7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
 Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
 Al terminar la ejecución del comando, se muestra un resumen de la actividad
Snort

Empfohlen

Snort
SnortSnort
Snort
Tensor
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDS
Natalia Martinez Ramos
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
Nicolas Notempus
 
Internet y Firewall MGA-NIC 2007
Internet y Firewall MGA-NIC 2007Internet y Firewall MGA-NIC 2007
Internet y Firewall MGA-NIC 2007
Vladimir Gutierrez, PhD
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
Antonio Durán
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 

Empfohlen

Snort
SnortSnort
Snort
Tensor
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDS
Natalia Martinez Ramos
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
PaloSanto Solutions
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
Nicolas Notempus
 
Internet y Firewall MGA-NIC 2007
Internet y Firewall MGA-NIC 2007Internet y Firewall MGA-NIC 2007
Internet y Firewall MGA-NIC 2007
Vladimir Gutierrez, PhD
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad Redes
Antonio Durán
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
Aula Campus
 
Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.
JOSE ALFREDO RAMIREZ PRADA
 
Sniffers
SniffersSniffers
Sniffers
texEduardo
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
alexleo69
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
RootedCON
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrack
apohlo
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
RootedCON
 
Detectando sniffers en nuestra red b
Detectando sniffers en nuestra red bDetectando sniffers en nuestra red b
Detectando sniffers en nuestra red b
Tensor
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
Internet Security Auditors
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
RootedCON
 
Tarjetas de red y router
Tarjetas de red y router Tarjetas de red y router
Tarjetas de red y router
BRAYANALEJANDROBM
 
Sniffer
SnifferSniffer
Sniffer
Maura Camila Blanco
 
Treball serv xarxa
Treball serv xarxaTreball serv xarxa
Treball serv xarxa
jordi_11
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
Rodolfo Pilas
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPA
Paulo Colomés
 
Redeswifi i
Redeswifi iRedeswifi i
Redeswifi i
Jordi Martin
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6
Rommel Macas
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
RootedCON
 
2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP
David Narváez
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
Alberto Mayo Vega
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
miss051
 

Weitere ähnliche Inhalte

Was ist angesagt?

Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
alexleo69
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
RootedCON
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
RootedCON
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
RootedCON
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
xoanGz
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
RootedCON
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
RootedCON
 
Treball serv xarxa
Treball serv xarxaTreball serv xarxa
Treball serv xarxa
jordi_11
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
Rodolfo Pilas
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6
Rommel Macas
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
RootedCON
 

Was ist angesagt? (20)

Sniffers
SniffersSniffers
Sniffers
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion sniffer
 
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit [RootedCON 2011]
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
 
Sistema operativo Backtrack
Sistema operativo BacktrackSistema operativo Backtrack
Sistema operativo Backtrack
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
Detectando sniffers en nuestra red b
Detectando sniffers en nuestra red bDetectando sniffers en nuestra red b
Detectando sniffers en nuestra red b
 
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
CodeSeeker: Un firewall de Nivel 7 OpenSource. No Con Name 2003
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
Sergiu Mesesan & Gonzalo García - Black drone, white drone, grey times [roote...
 
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
Vins Villaplana - Seguridad en capa de enlace [RootedCON 2011]
 
Tarjetas de red y router
Tarjetas de red y router Tarjetas de red y router
Tarjetas de red y router
 
Sniffer
SnifferSniffer
Sniffer
 
Treball serv xarxa
Treball serv xarxaTreball serv xarxa
Treball serv xarxa
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
 
Manual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPAManual para romper contraseñas WEP y WPA
Manual para romper contraseñas WEP y WPA
 
Redeswifi i
Redeswifi iRedeswifi i
Redeswifi i
 
Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6 Implicaciones de seguridad en la implantación de i pv6
Implicaciones de seguridad en la implantación de i pv6
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
 
2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP2.1 DIRECCIONAMIENTO IP
2.1 DIRECCIONAMIENTO IP
 

Ähnlich wie Snort

How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
miss051
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
Kandoloria
 
Sistemas
SistemasSistemas
Sistemas
1 2d
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1
Taringa!
 

Ähnlich wie Snort (20)

Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
 
Que es un snifer
Que es un sniferQue es un snifer
Que es un snifer
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Sistemas
SistemasSistemas
Sistemas
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
 
ARSO-M7: Article Snort
ARSO-M7: Article SnortARSO-M7: Article Snort
ARSO-M7: Article Snort
 
Prote
ProteProte
Prote
 
Q es un snifer
Q es un sniferQ es un snifer
Q es un snifer
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1
 
Tarea migue[1]
Tarea migue[1]Tarea migue[1]
Tarea migue[1]
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
 
Ultimo trabajo de informatica
Ultimo trabajo de informaticaUltimo trabajo de informatica
Ultimo trabajo de informatica
 
Proyecto
ProyectoProyecto
Proyecto
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 

Mehr von Tensor

Mehr von Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Kürzlich hochgeladen

6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 

Kürzlich hochgeladen (20)

TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPCTRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
TRABAJO FINAL TOPOGRAFÍA COMPLETO DE LA UPC
 
Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024Tema 19. Inmunología y el sistema inmunitario 2024
Tema 19. Inmunología y el sistema inmunitario 2024
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Los dos testigos. Testifican de la Verdad
Los dos testigos. Testifican de la VerdadLos dos testigos. Testifican de la Verdad
Los dos testigos. Testifican de la Verdad
 
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptxLA LITERATURA DEL BARROCO 2023-2024pptx.pptx
LA LITERATURA DEL BARROCO 2023-2024pptx.pptx
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdfFICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
FICHA PROYECTO COIL- GLOBAL CLASSROOM.docx.pdf
 
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
 
Código Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de VenezuelaCódigo Civil de la República Bolivariana de Venezuela
Código Civil de la República Bolivariana de Venezuela
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Usos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicasUsos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicas
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 

Snort

  • 1.
  • 2.  SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
  • 3.  Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
  • 4.  La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
  • 5.
  • 6.  Esquema del funcionamiento del decodificador de paquetes de Snort.
  • 7.  El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
  • 8.
  • 9.  El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
  • 10.
  • 11.  1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
  • 12.  1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
  • 13.  Especificación de la interfaz de red que Snort escuchará
  • 14.  Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
  • 15.  Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
  • 16.
  • 17.  1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
  • 18.  3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
  • 19.  5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
  • 20.  7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
  • 21.  Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
  • 22.  Al terminar la ejecución del comando, se muestra un resumen de la actividad