SNOR por EDGAR FREDDY ZAPANA ROQUE

Page 1

La mayoría de Firewalls funcionan como guardias frontales únicamente  Los IDS son el equivalente a los sistemas de alarma con multiples sensores y monitoreo por circuito cerrado de video  Muchas veces el enemigo ya está dentro  Algunos productos de Firewall han incluido IDS pero se siguen llamando Firewalls. 

Para que un IDS si ya tenemos Firewall? recopilado por Ing. Edgar F. Zapana Roque

recopilado por Ing. Edgar F. Zapana Roque

Portable (Linux, Windows, MacOS X, Solaris, BSD, IRIX, Tru64, HP-UX, etc)

INTRUSION DETECTION SYSTEM con SNORT

Intrusion System Detection (IDS)  Monitoriza  Detecta intentos de intrusión  Previene 

¿QUÉ ES UN IDS?

Basados en Host Basados en Red (NIDS) 

TIPOS DE IDS

podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico) 

Más que un sniffer

Detectan trafico no deseable

... Y luego actúa en consecuencia

NIDS

Además de NIDS puede actuar como un simple sniffer o bitacora de paquetes con especificaciones avanzadas No bloquea intrusos, asume que alguien está monitoreando el servicio

Implementa un motor de detección de ataques y barrido de puertos

Introducción a Snort 

 

Es un sniffer con un potente sistema de detección de intrusiones. Su sistema de detección esta basado en reglas Tiene multitud de opciones de loggin 

Logs descodificados (texto)

Logs tipo tcpdump (binario)

Logs al syslog en tiempo real

Winpopup por samba

SQL, Postgresql, UnixODBC

Es GNU !!!!

Utiliza libpcap o WinPcap como fuente de tráfico El sistema está basado en plugins que permiten una flexibilidad prácticamente ilimitada, activando módulos que vienen con la distribución o creando nuevos Utiliza un motor de detección basado en reglas

Diseño de Snort

Data Flow Snort Packet Stream

Sniffing

Preprocessor (Plug-ins) Detection Engine (Plug-ins)

Output Stage (Plug-ins)

Data Flow

Packet Decoder

Alerts/Logs

Typical locations for snort

¿Qúe puede detectar Snort? Escaneos Basicos Escaneos Stealth/Fin OS Fingerprint Ejecución de exploits conocidos Trafico no deseado (Napster,Gnutella) DDoS Intentos de penetración de otros tipos (virus, backdoors) Lo que queramos

Poniéndolo en marcha Instalación Configuración /etc/snort /etc/snort/rules.base

Reglas: /etc/snort/10102k.rules /etc/snort/vision.conf /etc/snort/misreglas.conf

rules.base ############ Fichero de configuraci贸n para Snort #################

#### Variables que definen nuestra red #### var INTERNAL 150.244.x.x/24 var EXTERNAL !150.244.x.x/24 var HOME_NET 150.244..x.x /24 var DNSSERVERS 150.244 .x.x 150.244 .x.x 150.244 .x.x var RUIDOSOS 150.244 .x.x 150.244 .x.x 150.244 .x.x 150.244 .x.x ####

Preprocesadores del trafico

####

preprocessor http_decode: 80 443 8080 preprocessor minfrag: 128 preprocessor portscan: 150.244.x.x /24 6 2 /var/log/snort/snort_portscan.log preprocessor portscan-ignorehosts: $RUIDOSOS $DNSSERVERS #### Tipo de login #### output alert_syslog: LOG_LOCAL1 LOG_ALERT #### Reglas de filtrado include /etc/snort/10102k.rules include /etc/snort/vision.conf

####

###### Puedes incluir aqui tus propio fichero de reglas ########## # include /etc/snort/misreglas.conf

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS 49 FF F0 I.. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7... 00 0D 0A 0D 00 ..... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

What Do The Packet Dumps Look Like?

Crear reglas propias 

Rule headers Acción Protocolo Direccion origen / Puerto origen Direccion destino / Puerto destino

Rule options msg content

Rule Header

Rule Options

Alert tcp 1.1.1.1 any -> 2.2.2.2 any (flags: SF; msg: “SYN-FIN Scan”;) Alert tcp 1.1.1.1 any -> 2.2.2.2 any (flags: S12; msg: “Queso Scan”;) Alert tcp 1.1.1.1 any -> 2.2.2.2 any (flags: F; msg: “FIN Scan”;)

Rule examples destination ip address Apply to all ip packets Destination port

Source ip address

Source port # Rule options Alert will be generated if criteria met

Rule header

recopilado por Ing. Edgar F. Zapana Roque

Ejemplo de regla 

Rule Header Alert tcp !$HOME_NET any <> $HOME_NET any

Rule Options (msg: "Transferencia de mp3"; flags: AP; content: ".mp3 ";)

bad-traffic.rules exploit.rules scan.rules  finger.rules ftp.rules telnet.rules  smtp.rules rpc.rules rservices.rules  dos.rules ddos.rules dns.rules  tftp.rules web-cgi.rules web-coldfusion.rules  web-frontpage.rules web-iis.rules web-misc.rules  web-attacks.rules sql.rules x11.rules  icmp.rules netbios.rules misc.rules  backdoor.rules shellcode.rules policy.rules  porn.rules info.rules icmp-info.rules  virus.rules local.rules attack-responses.rules 

Snort Rules

Physical layer

TCP/IP layer Snort work on network (IP) layer, transport (TCP/UDP) layer protocol, and application layer

Implementaci贸n (2) Cron

Report Generator Packet Stream

SNORT Sniffing

Rules file To Alert File recopilado por Ing. Edgar F. Zapana Roque

Alert File

edgarzr@gmail.com

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.