Práctica 6.2 – IDS
Transcripción
Práctica 6.2 – IDS
Práctica 6.2 – IDS-Snort Snort es un IDS o Sistema de deteccioón de instrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos. Todo esto en tiempo real. Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y GNU/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. Puede funcionar como sniffer (podemos ver en consola y en tiempo real que ocurre en nuestra red, todo nuestro tráfico), registro de paquetes ( permite guardar en un archivo los logs para su posterior análisis, un análisis offline o como un IDS normal (en este caso NIDS) 1. En primer lugar instalaremos la aplicación bajo GNU/Linux mediante: sudo apt-get install snort Nos aparecerá esto y damos a aceptar. 2. Snort en modo Sniffer y regristro de paquetes: snort –dev –h 192.168.1.0/24 > log.txt En este modo (dev) visualizaremos las cabeceras IP, TCP, uDP y ICMP, visualizará los campos de datos que pasan por la interfaz de red (d), y las cabeceras a nivel de enlace (e). -h para almacenar registros de tráfico de la red o host que se le indique. Si usamos 192.168.1.0/24 estamos diciendo que analice todos los datos de mi red. Se me queda pillado en este punto, así que explicaré los pasos a seguir en el caso de que este punto funcionase. Al rato largo creó este fichero: 3. Filtros: Para monitorizar tan sólo el tráfico deseado de un determinado puerto, se puede indicar por ejemplo: snort -vd host ipdelhost and dst port numerodepuerto. Pondriamos entonces por ejemplo: sudo snort –vd host 192.168.1.5 and dst port 8080 Sólo se mostrará el tráfico del host 192.168.1.5 con puerto de destino 8080. 4. IDS: El modo detección de intrusos de red se activa añadiendo a la línea de comandos de snort la opción -c snort.conf. En este archivo, snort.conf, se guarda toda la configuración de las reglas, preprocesadores y otras configuraciones necesarias para el funcionamiento en modo NIDS. Por tanto podemos ejecutar: snort -dev -h 192.168.1.0/24 -c snort.conf 5. Modos de alerta: Hay varias maneras de configurar la salida de las alertas, el modo en que se almacenarán estas en el archivo alertáis. Snort dispone de siete modos de alertas en la línea de órdenes: completo, rápido, socket, syslog, smb (WinPopup), consola y ninguno. Como ejemplo, en modo de alerta completa (-A Full) nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen/ destino e información completa de las cabeceras de los paquetes registrados. snort -A full -dev -h 192.168.1.0/24 -c snort.conf