PDF de programación - Snort

Imágen de pdf Snort

Snortgráfica de visualizaciones

Publicado el 13 de Abril del 2018
411 visualizaciones desde el 13 de Abril del 2018
1.019,5 KB
32 paginas
Creado hace 12a (20/11/2008)
Seguridad Informárica

Snort

Snort

Roberto Gómez Cárdenas

rogomez@itesm.mx

http://homepage.cem.itesm.mx/rogomez

Lámina 1

Dr. Roberto Gómez

Snort

• Escrito por Martín Roesch (1998)

– fundador de sourcefire (www.sourcefire.com)
• Es una version ligera de IDS de red que

se basa en libpcap, y corre en UNIX

• Gratuito
• Puede lograr búsquedas de contenido

en paquetes de IP
– después a través de un logging, le avisa al

administrador de seguridad si ha habido
alguna actividad inusual

Lámina 2

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

1

Seguridad Informárica

Snort

SNORT

• Provee a los administradores de seguridad con la

información suficiente para tomar decisiones
adecuadas.

• Puede ayudar cuando se encuentran hoyos de
seguridad y no se haya liberado su “parche” o
cuando por pólitica de seguridad no se pueda
instalar el “parche” sin antes ser probado.

• Disponible bajo la licencia GNU (General Public

License) y su código fuente está disponible.

Lámina 3

Dr. Roberto Gómez

SNORT

• Sniffer basado en libpcap que puede ser utilizado como
NIDS ya que cuenta con capacidad de analizar, a través
de reglas, el contenido completo de cada paquete que
circula por la red.

• Utiliza reglas definidas por el administrador de

seguridad para buscar patrones y detectar actividad
hostil (buffer overflows, STEALTH portscans, CGI
attacks, etc.) dentro de la red.

• Existen bases de datos conocidas con las huellas de

ataques más comunes
(http://www.whitehats.com/ids/index.html)

Lámina 4

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

2

Seguridad Informárica

Snort

SNORT vs TCPdump

• ¿Porqué se puede decir que SNORT no es un simple

sniffer?

• SNORT es distinto a TCPdump ya que éste no tiene
capacidad de analizar el “payload” de los paquetes.

• SNORT puede decodificar hasta la capa de aplicación,

por lo tanto también, capa transporte, capa red, capa
enlace.

• La salida que entrega SNORT es más legible que la

entregada por TCPdump.

Lámina 5

Dr. Roberto Gómez

SNORT

• Los 3 elementos básicos de SNORT son:

1. decodificador de paquetes
2. motor de detección
3. subsistema de “logeo” y alerta

Lámina 6

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

3

Seguridad Informárica

Snort

Plataformas

• Snort corre en casi cualquier versión de UNIX,

incluyendo:
– Linux (originalmente desarrollado para y en)
– OpenBSD
– FreeBSD
– Solaris
– HP-UX
– AIX.
– Windows ( ¿porque no? )

Plataformas de
hardware como
Sparc, Alpha y los
x86.

Lámina 7

Dr. Roberto Gómez

Donde se obtiene

• Versión actual 2.6
• Página snort

– http://www.snort.org

• Las firmas se pueden bajar de

– http://www.snort.org
– http://www.whitehats.ca
– http://www.silicondefense.com

Lámina 8

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

4

Seguridad Informárica

Snort

Instalando snort en ambientes

Unix

• Bajar y compilar

– Snort (.src.rpm, .rpm, .src.tar.gz)
– Reglas actuales
– Libnet (si no se tiene instalado)

• Unix:
• Windows:

http://www.packetfactory.net/libnet
netgroup-serv.polito.it
– Libpcap (si no se tiene instalado)

• Unix:
• Windows: netgroup-serv.polito.it/winpcap

www.tcpdump.org/release/libpcap

Lámina 9

Dr. Roberto Gómez

Archivos instalados

• /root/Downloads/snort-2.4.3/etc/

– contiene los archivos de configuración

• /var/log/snort

– contendrá las bitácoras generadas por snort
– NO lo instala es necesario crearlo

• /usr/bin/snort

– contiene el ejecutable de snort

Lámina 10

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

5

Seguridad Informárica

Snort

Pasos previos para usar snort

• Crear el directorio de bitacoras

– mkdir /var/log/snort

• Bajar los archivos de reglas

– http://www.snort.org/pub-bin/downloads.cgi
– subscription release, registered user release, unregistered user release,

Community Rules



Instalar los archivos de reglas
– cd /root/Downloads/snort-2.4.3/
– tar -zxvf snortrules-pr-2.4.tar.gz
– se crearán dos directorios: ~/rules y ~/doc/signatures

• Trasladarse al directorio donde se encuentran las reglas y el

archivo de configuracion
– cd /root/Downloads/snort-2.4.3/etc
– snort

Lámina 11

Dr. Roberto Gómez

Una prueba rápida

• Ejecutar siguiente comando dentro del directorio

/etc/snort

toto@cognac:3> snort –A console *

• Desde otra máquina, utilice nmap para generar eventos

para que los detecte snort

toto@tequila:3> nmap – Sp <IP máquina con snort>

• Se debe ver una alerta como la que sigue:

03/27-15:18:06.911226 [**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
{ICMP} 192.168.1.20 -> 192.168.1.237

Lámina 12

* posible tener definir ubicación archivo configuracio: snort -A console -c etc/snort.conf

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

6

Seguridad Informárica

Snort

Modos operación snort

• sniffer

– solo lee los paquetes que circulan por la red y los

despliega

• packet logger

– almacena paquetes en el disco

• network intrusion detection system

– analiza tráfico que coincida con una regla definida y

realiza una determinada acción especificada en la
regla

Lámina 13

Dr. Roberto Gómez

Modo sniffer

• snort –v

– despliega los encabezados de los paquetes TCP/IP en

la pantalla

– solo despliega los encabezados de IP y

TCP/UDP/ICMP nada más

• snort –vd

– despliega tanto los datos como los encabezados

• snort –vde

– lo mismo que antes, y además despliega los

encabezados de la capa de enlace

Lámina 14

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

7

Seguridad Informárica

Snort

Modo packet logger

• Posible almacenar paquetes en el disco, para lo cual

es necesario especificar un directorio

snort –dev –l ./log

• Capturar paquetes relativos a la red 192.168.1.0

tipo C, todos los paquetes serán registrados en los
subdirectorios del directorio log

snort –dev –l ./log –h 192.168.1.0/24
• En redes alta velocidad, es posible almacenar

paquetes en forma más compacta (modo binario:
formato tcpdump)

snort –l ./log –b

Lámina 15

Dr. Roberto Gómez

Leyendo lo almacenado

• Posible leer lo almacenado con un snifer que

soporte fomato binario tcpdump
– tcpdump o ethereal

• Se puede usar snort con la opción –r, que lo pone

en modo playback

• Paquetes en formato tcpdump pueden ser

procesados por snort

snort –dv –r packet.log

Lámina 16

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

8

Seguridad Informárica

Snort

Modo NIDS

• Para habilitar el modo de detección de intrusos en

red es necesario teclear:
snort –dev –l ./log –h 192.168.1.0/24 –c snort.conf
– donde snort.conf es el archivo de las reglas
– si no se especifica directorio salida, se tomará como

default /var/log/snort

• No se recomienda la opción –v
• En muchos casos no es necesario verificar los

encabezados de enlace de datos

snort –d –h 192.168.1.0/24 –l ./log -c snort.conf

Lámina 17

Dr. Roberto Gómez

Elementos configuración snort

• Existen tres formas de indicarle a Snort como actuar
– snort.conf configura variables, preprocesadores, salidas y

conjuntos de reglas activas

– archivos .rules define las huellas (signatures) actuales
– opciones a nivel línea de comandos, las cuales sobreescriben

las opciones en el archivo snort.conf

• Snort correrá con el archivo snort.conf por default

– se aconseja configurarlo de acuerdo a la actividad de la red

monitoreada

– de esta forma se puede ahorrar tiempo al examinar los

resultados

Lámina 18

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

9

Seguridad Informárica

Snort

Ejemplo archivo snort.conf

# Step #1: Set the network variables:
# var HOME_NET $eth0_ADDRESS
var EXTERNAL_NET $HOME_NET

# Step #2: Configure preprocessors
preprocessor frag2
preprocessor bo

# Step #3: Configure output plugins
#
# output log_tcpdump: snort.log
# output trap_snmp: alert, 7, trap -v 2c -p 162 myTrapListener myCommunity

# Step #4: Customize your rule set
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules

Lámina 19

Dr. Roberto Gómez

Comentarios snort.conf

• La indica a snort:
– cual es la red local
– que herramientas usar para preprocesar paquetes

• paquetes fragmentados/defragmentados

– que herramientas usar para formatear las bitácoras de salida

• por ejemplo: habilitar XML

• Mayoría opciones: dejar la opción por default y solo

ajustar la dirección red local, por ejemplo:

var HOME_NET [192.168.1.0/24,10.120.0.0/16]

Lámina 20

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

10

Seguridad Informárica

Snort

Diseño reglas en snort

Archivos y sintaxis

Lámina 21

Dr. Roberto Gómez

Archivos de reglas

finger.rules
smtp.rules

• bad-traffic.rules


• dos.rules
• web-coldfusion.rules
• web-frontpage.rules
• web-attacks.rules

• backdoor.rules
• porn.rules
• attack-responses.rules

icmp.rules

exploit.rules
ftp.rules
rpc.rules
ddos.rules
web-cgi.rules
web-iis.rules
sql.rules
netbios.rules
shellcode.rules
info.rules
local.rules

scan.rules
telnet.rules
rservices.rules
dns.rules
tftp.rules
web-misc.rules
x11.rules
misc.rules
policy.rules
icmp-info.rules
virus.rules

Lámina 22

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

11

Seguridad Informárica

Snort

Ejemplo archivo .rules

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP ISS Pinger";
content:"|495353504e475251|";itype:8;depth:32; reference:arachnids,158;
classtype:attempted-recon; sid:465; rev:1;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP L3retriever Ping";
content: "ABCDEFGHIJKLMNOPQRSTUVWABCDEFGHI"; itype: 8; icode: 0; depth: 32;
reference:arachnids,311; classtype:attempted-recon; sid:466; rev:1;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Nemesis v1.1 Echo";
dsize: 20; itype: 8; icmp_id: 0; icmp_seq: 0;
content: "|0000000000000000000000000000000000000000|"; re
  • Links de descarga
http://lwp-l.com/pdf10392

Comentarios de: Snort (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad