PDF de programación - Snort

Seguridad Informárica

Snort

Snort

Roberto Gómez Cárdenas

[email protected]

http://homepage.cem.itesm.mx/rogomez

Lámina 1

Dr. Roberto Gómez

Snort

• Escrito por Martín Roesch (1998)

– fundador de sourcefire (www.sourcefire.com)
• Es una version ligera de IDS de red que

se basa en libpcap, y corre en UNIX

• Gratuito
• Puede lograr búsquedas de contenido

en paquetes de IP
– después a través de un logging, le avisa al

administrador de seguridad si ha habido
alguna actividad inusual

Lámina 2

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

1

Seguridad Informárica

Snort

SNORT

• Provee a los administradores de seguridad con la

información suficiente para tomar decisiones
adecuadas.

• Puede ayudar cuando se encuentran hoyos de
seguridad y no se haya liberado su “parche” o
cuando por pólitica de seguridad no se pueda
instalar el “parche” sin antes ser probado.

• Disponible bajo la licencia GNU (General Public

License) y su código fuente está disponible.

Lámina 3

Dr. Roberto Gómez

SNORT

• Sniffer basado en libpcap que puede ser utilizado como
NIDS ya que cuenta con capacidad de analizar, a través
de reglas, el contenido completo de cada paquete que
circula por la red.

• Utiliza reglas definidas por el administrador de

seguridad para buscar patrones y detectar actividad
hostil (buffer overflows, STEALTH portscans, CGI
attacks, etc.) dentro de la red.

• Existen bases de datos conocidas con las huellas de

ataques más comunes
(http://www.whitehats.com/ids/index.html)

Lámina 4

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

2

Seguridad Informárica

Snort

SNORT vs TCPdump

• ¿Porqué se puede decir que SNORT no es un simple

sniffer?

• SNORT es distinto a TCPdump ya que éste no tiene
capacidad de analizar el “payload” de los paquetes.

• SNORT puede decodificar hasta la capa de aplicación,

por lo tanto también, capa transporte, capa red, capa
enlace.

• La salida que entrega SNORT es más legible que la

entregada por TCPdump.

Lámina 5

Dr. Roberto Gómez

SNORT

• Los 3 elementos básicos de SNORT son:

1. decodificador de paquetes
2. motor de detección
3. subsistema de “logeo” y alerta

Lámina 6

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

3

Seguridad Informárica

Snort

Plataformas

• Snort corre en casi cualquier versión de UNIX,

incluyendo:
– Linux (originalmente desarrollado para y en)
– OpenBSD
– FreeBSD
– Solaris
– HP-UX
– AIX.
– Windows ( ¿porque no? )

Plataformas de
hardware como
Sparc, Alpha y los
x86.

Lámina 7

Dr. Roberto Gómez

Donde se obtiene

• Versión actual 2.6
• Página snort

– http://www.snort.org

• Las firmas se pueden bajar de

– http://www.snort.org
– http://www.whitehats.ca
– http://www.silicondefense.com

Lámina 8

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

4

Seguridad Informárica

Snort

Instalando snort en ambientes

Unix

• Bajar y compilar

– Snort (.src.rpm, .rpm, .src.tar.gz)
– Reglas actuales
– Libnet (si no se tiene instalado)

• Unix:
• Windows:

http://www.packetfactory.net/libnet
netgroup-serv.polito.it
– Libpcap (si no se tiene instalado)

• Unix:
• Windows: netgroup-serv.polito.it/winpcap

www.tcpdump.org/release/libpcap

Lámina 9

Dr. Roberto Gómez

Archivos instalados

• /root/Downloads/snort-2.4.3/etc/

– contiene los archivos de configuración

• /var/log/snort

– contendrá las bitácoras generadas por snort
– NO lo instala es necesario crearlo

• /usr/bin/snort

– contiene el ejecutable de snort

Lámina 10

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

5

Seguridad Informárica

Snort

Pasos previos para usar snort

• Crear el directorio de bitacoras

– mkdir /var/log/snort

• Bajar los archivos de reglas

– http://www.snort.org/pub-bin/downloads.cgi
– subscription release, registered user release, unregistered user release,

Community Rules

•

Instalar los archivos de reglas
– cd /root/Downloads/snort-2.4.3/
– tar -zxvf snortrules-pr-2.4.tar.gz
– se crearán dos directorios: ~/rules y ~/doc/signatures

• Trasladarse al directorio donde se encuentran las reglas y el

archivo de configuracion
– cd /root/Downloads/snort-2.4.3/etc
– snort

Lámina 11

Dr. Roberto Gómez

Una prueba rápida

• Ejecutar siguiente comando dentro del directorio

/etc/snort

toto@cognac:3> snort –A console *

• Desde otra máquina, utilice nmap para generar eventos

para que los detecte snort

toto@tequila:3> nmap – Sp <IP máquina con snort>

• Se debe ver una alerta como la que sigue:

03/27-15:18:06.911226 [**] [1:469:1] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
{ICMP} 192.168.1.20 -> 192.168.1.237

Lámina 12

* posible tener definir ubicación archivo configuracio: snort -A console -c etc/snort.conf

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

6

Seguridad Informárica

Snort

Modos operación snort

• sniffer

– solo lee los paquetes que circulan por la red y los

despliega

• packet logger

– almacena paquetes en el disco

• network intrusion detection system

– analiza tráfico que coincida con una regla definida y

realiza una determinada acción especificada en la
regla

Lámina 13

Dr. Roberto Gómez

Modo sniffer

• snort –v

– despliega los encabezados de los paquetes TCP/IP en

la pantalla

– solo despliega los encabezados de IP y

TCP/UDP/ICMP nada más

• snort –vd

– despliega tanto los datos como los encabezados

• snort –vde

– lo mismo que antes, y además despliega los

encabezados de la capa de enlace

Lámina 14

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

7

Seguridad Informárica

Snort

Modo packet logger

• Posible almacenar paquetes en el disco, para lo cual

es necesario especificar un directorio

snort –dev –l ./log

• Capturar paquetes relativos a la red 192.168.1.0

tipo C, todos los paquetes serán registrados en los
subdirectorios del directorio log

snort –dev –l ./log –h 192.168.1.0/24
• En redes alta velocidad, es posible almacenar

paquetes en forma más compacta (modo binario:
formato tcpdump)

snort –l ./log –b

Lámina 15

Dr. Roberto Gómez

Leyendo lo almacenado

• Posible leer lo almacenado con un snifer que

soporte fomato binario tcpdump
– tcpdump o ethereal

• Se puede usar snort con la opción –r, que lo pone

en modo playback

• Paquetes en formato tcpdump pueden ser

procesados por snort

snort –dv –r packet.log

Lámina 16

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

8

Seguridad Informárica

Snort

Modo NIDS

• Para habilitar el modo de detección de intrusos en

red es necesario teclear:
snort –dev –l ./log –h 192.168.1.0/24 –c snort.conf
– donde snort.conf es el archivo de las reglas
– si no se especifica directorio salida, se tomará como

default /var/log/snort

• No se recomienda la opción –v
• En muchos casos no es necesario verificar los

encabezados de enlace de datos

snort –d –h 192.168.1.0/24 –l ./log -c snort.conf

Lámina 17

Dr. Roberto Gómez

Elementos configuración snort

• Existen tres formas de indicarle a Snort como actuar
– snort.conf configura variables, preprocesadores, salidas y

conjuntos de reglas activas

– archivos .rules define las huellas (signatures) actuales
– opciones a nivel línea de comandos, las cuales sobreescriben

las opciones en el archivo snort.conf

• Snort correrá con el archivo snort.conf por default

– se aconseja configurarlo de acuerdo a la actividad de la red

monitoreada

– de esta forma se puede ahorrar tiempo al examinar los

resultados

Lámina 18

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

9

Seguridad Informárica

Snort

Ejemplo archivo snort.conf

# Step #1: Set the network variables:
# var HOME_NET $eth0_ADDRESS
var EXTERNAL_NET $HOME_NET

# Step #2: Configure preprocessors
preprocessor frag2
preprocessor bo

# Step #3: Configure output plugins
#
# output log_tcpdump: snort.log
# output trap_snmp: alert, 7, trap -v 2c -p 162 myTrapListener myCommunity

# Step #4: Customize your rule set
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/telnet.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/tftp.rules

Lámina 19

Dr. Roberto Gómez

Comentarios snort.conf

• La indica a snort:
– cual es la red local
– que herramientas usar para preprocesar paquetes

• paquetes fragmentados/defragmentados

– que herramientas usar para formatear las bitácoras de salida

• por ejemplo: habilitar XML

• Mayoría opciones: dejar la opción por default y solo

ajustar la dirección red local, por ejemplo:

var HOME_NET [192.168.1.0/24,10.120.0.0/16]

Lámina 20

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

10

Seguridad Informárica

Snort

Diseño reglas en snort

Archivos y sintaxis

Lámina 21

Dr. Roberto Gómez

Archivos de reglas

finger.rules
smtp.rules

• bad-traffic.rules
•
•
• dos.rules
• web-coldfusion.rules
• web-frontpage.rules
• web-attacks.rules
•
• backdoor.rules
• porn.rules
• attack-responses.rules

icmp.rules

exploit.rules
ftp.rules
rpc.rules
ddos.rules
web-cgi.rules
web-iis.rules
sql.rules
netbios.rules
shellcode.rules
info.rules
local.rules

scan.rules
telnet.rules
rservices.rules
dns.rules
tftp.rules
web-misc.rules
x11.rules
misc.rules
policy.rules
icmp-info.rules
virus.rules

Lámina 22

Dr. Roberto Gómez

Dr. Roberto Gómez Cárdenas

11

Seguridad Informárica

Snort

Ejemplo archivo .rules

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP ISS Pinger";
content:"|495353504e475251|";itype:8;depth:32; reference:arachnids,158;
classtype:attempted-recon; sid:465; rev:1;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP L3retriever Ping";
content: "ABCDEFGHIJKLMNOPQRSTUVWABCDEFGHI"; itype: 8; icode: 0; depth: 32;
reference:arachnids,311; classtype:attempted-recon; sid:466; rev:1;)

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Nemesis v1.1 Echo";
dsize: 20; itype: 8; icmp_id: 0; icmp_seq: 0;
content: "|0000000000000000000000000000000000000000|"; re