GUÍA DE CONFIGURACIÓN Y USO DE SNORT
Elaborada por: Fátima Abigail Porras Noriega
ÍNDICE 1. TEORÍA BÁSICA DE SNORT ........................................................................... 1 2. INSTALACIÓN Y CONFIGURACIÓN ............................................................ 8 3. CONFIGURACIÓN DE REGLAS .................................................................. 13 4. COMANDOS DE SNORT............................................................................. 17 5. INTERPRETACIÓN DE ALERTAS ................................................................... 20 REFERENCIAS ................................................................................................... 24
1.
TEORÍA BÁSICA DE SNORT
Snort es un sistema de detección de intrusiones basado en red (NIDS). Monitoriza todo el tráfico de la red en búsqueda de cualquier tipo de intrusión. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones. ELEMENTOS DEL SISTEMA Los elementos que componen el esquema básico de su arquitectura son: •
Módulo de captura del tráfico. Captura todos los paquetes de la red utilizando la librería libpcap.
•
Decodificador. Forma las estructuras de datos con los paquetes capturados e identifica los protocolos de enlace, de red, etc.
•
Preprocesadores.
Permiten
extender
las
funcionalidades
preparando los datos para la detección. Existen diferentes tipos de preprocesadores dependiendo del tráfico que se quiere analizar. •
Motor de Detección. Analiza los paquetes con base en las reglas definidas para detectar los ataques.
•
Archivo de Reglas. Definen el conjunto de reglas que regirán el análisis de los paquetes detectados.
•
Plugins de detección. Partes del software que son compilados con Snort y se usan para modificar el motor de detección.
•
Plugins
de
salida. Permiten definir qué, cómo y dónde se
guardan las alertas y los correspondientes paquetes de red que las generaron. 1
MODOS DE OPERACIÓN Snort opera en tres modos que se explicarán más adelante más a detalle: •
Modo Sniffer. Sólo lee los paquetes que circulan por la red y los despliega.
•
Modo Packet Logger. Almacena paquetes en el disco.
•
Modo NIDS. Analiza trafico que coincida con una regla definida y realiza una determinada acción especificada en la regla.
REGLAS Las reglas o firmas son los patrones que se buscan dentro de los paquetes de datos. Las reglas de Snort son utilizadas por el motor de detección para comparar los paquetes recibidos y generar las alertas en caso de existir coincidencia entre el contenido de los paquetes y las firmas. Categorías de reglas Snort Hay cuatro categorías de reglas para evaluar un paquete. Estas cuatro categorías están divididas a su vez en dos grupos, las que tienen contenido y las que no tienen contenido: •
Reglas de Protocolo. Son las que son dependientes del protocolo que se está analizando, por ejemplo en el protocolo http está la palabra reservada uricontent.
•
Reglas de Contenido Genéricas. Permiten especificar patrones para buscar en el campo de datos del paquete, los patrones de búsqueda pueden ser binarios o en modo ASCII.
2
•
Reglas de Paquetes Malformados. Especifican características sobre los paquetes, concretamente sobre sus cabeceras las cuales indican que se está produciendo algún tipo de anomalía, este tipo de reglas no miran en el contenido ya que primero se comprueban las cabeceras en busca de incoherencias u otro tipo de anomalía.
•
Reglas
IP. Se aplican directamente sobre la capa IP, y son
comprobadas para cada datagrama IP, si el datagrama luego es TCP, UDP o ICMP se realizará un análisis del datagrama con su correspondiente capa de protocolo, este tipo de reglas analiza con contenido y sin él. Por otra parte, Snort permite crear nuevas reglas. Modificando nuestras propias reglas, creando nuevas reglas avanzadas en función de los servicios que se desean monitorizar y se pueden escribir reglas para: •
Registrar el acceso hacia o desde determinados servidores.
•
Buscar determinados tipos de nombres de archivos.
•
Vigilar determinados tipos de tráfico que no pertenecen a la red.
¿Cómo funcionan? 1. Si un paquete coincide con el criterio especificado por una regla, Snort lo almacena en un archivo de bitácora. 2. Si un paquete no coincide con ninguna reglas, Snort no hace nada, no es necesario preocuparse por el trafico que snort no está configurado para reconocer. 3. Es posible aumentar las capacidades de Snort incorporando reglas nuevas de los diferentes sitios que proporcionan una regla. 3
ELEMENTOS DE CONFIGURACIÓN Existen tres formas de indicarle a Snort cómo actuar: •
snort.conf. Configura variables, preprocesadores, salidas y conjuntos de reglas activas.
•
Archivos .rules. Definen las huellas (signatures) actuales.
•
Opciones a nivel línea de comandos. Sobrescriben las opciones en el archivo snort.conf.
ESQUEMAS DE RED CON SNORT En primer lugar antes de proceder a la instalación y configuración de Snort, se van a describir las distintas posibilidades para la ubicación del IDS en la red. La colocación de Snort en la red se debe de realizar en función del tráfico que se quiere vigilar. Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlación en la red. Así la interoperabilidad permite que un sistema IDS pueda compartir u obtener información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las características de la red de acuerdo con los eventos que se generan. Se puede colocar el IDS de las siguientes formas: •
Delante del firewall. De esta forma el IDS puede comprobar todos los ataques producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de información en los logs, que puede resultar contraproducente.
4
•
Detrás del firewall. Permite analizar, todo el tráfico que entra en la red (y que sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall. Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la producida en el caso anterior.
•
Combinación de los dos casos anteriores. Combinando la colocación del IDS delante y detrás del firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas para implementarlo.
•
Firewall / NIDS. Otra opción es usar una única máquina que haga las funciones de firewall y de NIDS a la vez.
•
Combinaciones avanzadas. Se utilizan para cubrir necesidades de seguridad más altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts individuales.
¿Dónde colocar el IDS? La decisión de donde localizar el IDS es la primera decisión que hay que tomar una vez que se quiere instalar un IDS. De esta decisión dependerá tanto el equipo que se use, como el software IDS o la base de datos. Usualmente se suele decir, de forma general, que en toda red existen tres zonas a la hora de ubicar un IDS: •
Zona roja. Al IDS le llega todo el tráfico externo de red, es por tanto una zona de alto riesgo. En esta zona el IDS debe ser configurado
5
para ser poco sensible, puesto que verá todo el tráfico que entre o salga de la red y habrá más posibilidad de falsas alarmas. •
Zona verde. El IDS se encuentra protegido detrás de un firewall y por ello debería ser configurado para tener una sensibilidad un poco mayor puesto que ahora, el firewall deberá ser capaz de filtrar algunos accesos definidos mediante la política de la organización. En esta zona aparece un menor número de falsas alarmas que en la zona roja, puesto que en este punto sólo deberían estar permitidos accesos hacia los servidores.
•
Zona azul. Esta es la zona de confianza. Cualquier tráfico anómalo que llegue hasta aquí debe ser considerado como hostil. En este punto de la red se producen el menor número de falsas alarmas, por lo que cualquier alarma del IDS debe de ser inmediatamente estudiada. Es importante destacar que la zona azul no es parte de la red interna. Todo lo que llegue al IDS de la zona azul irá hacia el firewall o hacia el exterior.
En este punto se tendría que analizar si nos interesa conocer todos los ataques que recibimos desde Internet o bien sólo aquellos que traspasan nuestro firewall. Enfocamos esta pregunta desde los siguientes puntos: •
Coste. Cuanto mayor sea el tráfico para analizar mayor debe ser el presupuesto en el IDS.
•
Rendimiento. Cuanto mayor sea el tráfico para analizar mayor es el número de recursos que debe utilizar el IDS.
•
Complejidad. Cuanto mayor sea el tráfico para analizar más complejo será la configuración y mantenimiento del IDS. 6
Por lo tanto suele ser usual colocar el IDS detrás del firewall protegiéndolo del primer impacto de cara a Internet. Más complejo se vuelve este análisis cuando la red contiene elementos redundantes, y por tanto las estrategias para la ubicación del IDS cambian. Entre los motivos a la hora de usar componentes redundantes, tenemos: •
Fallos en los interfaces de red. En Linux existe una técnica llamada 'Bonding", por la cual se pueden utilizar 2 o más tarjetas de red como si fueran un único dispositivo, sumando las capacidades de estas y teniendo redundancia en el caso que alguna falle.
•
Fallos
en
los
elementos
de
la
red,
como
servidores,
pasarelas, conmutadores, etc. Cualquiera de estos componentes puede fallar, dejando al sistema incomunicado. Pero existen técnicas para evitar que esto ocurra, lo que se suele hacer es configurar la red, para que al menos existan 2 caminos diferentes entre dos componentes A y B. En relación con estos problemas existen las siguientes estrategias para la ubicación del IDS: •
Ubicar el IDS fuera del área de redundancia.
•
Múltiples sondas en los diferentes segmentos de red.
•
Una sonda que pueda escuchar en distintos segmentos de red.
•
Una combinación de las últimas dos opciones.
7
2.
INSTALACIÓN Y CONFIGURACIÓN
El proceso de instalación y configuración de Snort en un equipo Windows es muy sencillo y se necesita seguir los siguientes pasos: Se debe descargar en primer lugar Nmap, una herramienta open source gratuita para realizar auditorías de seguridad y descubrimientos de red, desde su sitio oficial https://nmap.org/download.html e instalar. Esta herramienta es importante ya que sin ella, Snort no se podrá ejecutar. Al tener instalada esta herramienta, deberá reiniciarse el sistema y proceder
a
descargar
desde
el
sitio
oficial
de
Snort
https://www.snort.org/#get-started la opción del ejecutable que mejor se adapte a las necesidades, en este caso se descargó la versión 2.9.16 de snort para Windows. Después, deberá descargarse el archivo de reglas para nuestra versión descargada, también desde el sitio oficial https://www.snort.org/downloads/#rule-downloads que en este caso fue el paquete snortrules-snapshot-29160.tar.gz. Al tener dichas descargas realizadas, debe realizarse la instalación de snort de manera normal, en donde, al realizarse la instalación, se creará una estructura de directorio en C:\Snort como lo siguiente: C:\snort\bin (el directorio donde se encuentra el ejecutable de la herramienta). C:\snort\contrib C:\snort\doc (documentación de la herramienta). 8
C:\snort\etc (directorio principal para los archivos de configuración). C:\snort\log C:\snort\rules (archivos de reglas). Los ficheros más importantes son: •
etc/snort.conf: archivo de configuración principal.
•
etc/classification.config: información sobre la priorización de las reglas, incluyendo un nombre clasificatorio y una pequeña descripción.
•
etc/gen-msg.map: incluye correspondencia entre un identificador de elemento generador de un evento y su descripción.
•
etc/reference.config: define las URL asociadas a las referencias de más información que suelen indicarse junto a las reglas de detección.
•
etc/sid-msg.map: hace corresponder el identificador de una alerta (Snort ID, SID) con su mensaje descriptivo.
•
etc/threshold.conf: configuración de umbrales límite que permiten la reducción de alarmas por repetición de eventos.
•
etc/unicode.map: correspondencias de formato entre diferentes tipos de código.
Así pues, el primer cambio que se realizará es el reemplazo de las reglas que vienes descargadas por defecto por las que se descargaron previamente. El directorio que deberá reemplazarse será el de c:\snort\rules y sobrescribir las recién descargadas.
9
Una vez que se conoce esto y que está instalado Snort, se debe continuar con la configuración del fichero snort.conf que se encuentra en el directorio c:\snort\etc. Para acceder a este archivo se debe utilizar un editor de texto que no corrompa el formato original del archivo, por ejemplo Notepad o WordPad. Éste archivo consta de nueve pasos de configuración que ayudan a que snort pueda correr correctamente, sin embargo no todos estos pasos se deben personalizar.
Step #1: Set the network variables (establecer las variables de red). En este paso se debe establecer la dirección de red que se está protegiendo así como las direcciones de red externas en las líneas ipvar HOME_NET any y ipvar EXTERNAL_NET any. Se puede modificar de tres modos dependiendo lo que se quiera. 1) Una red. 2) Un host en específico. 3) Varios host Este paso puede dejarse como any pero es recomendable cambiar la configuración de red para que no se produzca un error. Las líneas 45 y 48 quedarían de la siguiente manera: ipvar HOME_NET 192.168.0.1 /24 ipvar EXTERNAL_NET !$HOME_NET
Step #2: Configure the decoder (configurar el decodificador). En este paso únicamente se debe configurar el directorio de registro predeterminado para que snort inicie sesión.
10
La modificación de la línea 186 quedaría de la siguiente manera: config logdir: c:\Snort\log
Step #3: Configure the base detection engine (configurar el motor de detección de base). En este paso no se necesita realizar alguna modificación.
Step
#4:
Configure
dynamic
loaded
libraries
(configurar
las
bibliotecas dinámicas cargadas). En este paso deben configurarse las rutas que vienen por defecto de Linux a Windows. Así pues, las líneas 247 y 250 quedaron de la siguiente manera respectivamente: dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessor dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll
Step #5: Configure preprocessors (configurar los preprocesadores). En este paso dentro de las líneas 511 y 512, vienen escritas por defecto las líneas whitelist $WHITE_LIST_PATH\white_list.rules, \ blacklist $BLACK_LIST_PATH\black_list.rules respectivamente, de las cuales estos ficheros no vienen creados por defecto. Entonces, lo único que debe realizarse es crear dos archivos vacíos cuidando que se guarden con la extensión .rules.
Step #6: Configure output plugins (configurar complementos de salida). En este paso, las líneas 534 y 535 venían comentadas por defecto, entonces, lo único que debe hacerse es descomentarlas y ponerles la ruta donde se encuentran esos dos ficheros en realidad. Quedando entonces de la siguiente manera respectivamente: include c:\snort\etc\classification.config 11
include c:\snort\etc\reference.config
Step #7: Customize your rule set (personalizar el conjunto de reglas). En este paso no se requiere de alguna modificación.
Step
#8:
Customize
(personalizar
el
your
conjunto
preprocessor de
reglas
and de
decoder
alerts
preprocesador
y
decodificador). En esta parte únicamente se deben descomentar las tres líneas de include ya que por defecto venían comentadas, quedando las líneas 660, 661 y 662 de la siguiente manera respectivamente: include $PREPROC_RULE_PATH/preprocessor.rules include $PREPROC_RULE_PATH/decoder.rules include $PREPROC_RULE_PATH/sensitive-data.rules
Step #9: Customize your Shared Object Snort Rules (personalizar el conjunto de reglas de objeto compartido). En este paso no se requiere de alguna modificación. Al tener estas configuraciones realizadas, Snort debería funcionar de manera correcta. Un aspecto importante pata tomar en cuenta sería la configuración de reglas o políticas, las cuales, funcionan como patrones al momento de detectar alguna actividad sospechosa. Estas reglas se pueden establecer entrando a la ruta c:\snort\rules y editando el fichero local.rules. A continuación se hablará más acerca de la configuración de reglas en snort.
12
3.
CONFIGURACIÓN DE REGLAS
Como ya se ha mencionado, Snort es un sistema de detección de intrusiones que tiene la capacidad de definir reglas, las cuales, al controlar todos los paquetes de la red, analizan estos paquetes y pueden determinar qué acciones se llevarán a cabo.
ANATOMÍA DE UNA REGLA DE SNORT El esquema básico de una regla de Snort es el siguiente:
[action][protocol][sourceIP][sourceport] → [destIP][destPort]([Rule options])
Ejemplo: Rule Header – alert tcp $EXTERNAL_NET $HTTP_PORTS → $HOME_NET any Message – msg: “BROWSER-IE Microsoft Internet Explorer CacheSize
exploit attempt”; Flow – flow: to_client, established; Detection – file_data;
content: “recordset”; offset:14; depth:9; content: “.CacheSize”; distance:0; within:100; pcre: “/CacheSize\s*=\s*/; byte_test:10,>,0x3ffffffe,0,relative,string; Metadata – policy max-detect-ips drop, service http; References – reference:cve,2016-8077; Classification – classtype: attempted-user; Signature ID – sid:65535;rev:1;
ENCABEZADO DE LA REGLA 13
El encabezado de la regla contiene la acción de la regla, el protocolo, las direcciones IP de origen y destino, las máscaras de red y los puertos de origen y destino. alert Acción a tomar (opción) – El primer elemento en una regla es la acción de la regla, la cual le dice a Snort qué hacer cuando encuentre un paquete que coincida con el criterio de la regla (usualmente es alerta). tcp Tipo de tráfico (protocolo) – El siguiente campo en una regla es el protocolo. Hay cuatro protocolos que Snort normalmente analiza debido a comportamientos sospechosos – TCP, UDP, ICMP e IP. $EXTERNAL_NET Dirección(es) de origen – Variable o literal. $HTTP_PORTS Puerto(s) de origen – Variable o literal. → Operador de dirección – Indica la orientación del tráfico para el cual la regla aplica. $HOME_NET Direccion(es) de destino – Variable o literal. any Puerto(s) de destino – Variable o literal. OPCIONES DE LA REGLA Las opciones de reglas forman el corazón del motor de detección de intrusos de Snort, todas las opciones de la regla Snort están separadas
14
entre sí utilizando un punto y coma (;). Las palabras clave de las opciones de regla se separan de sus argumentos con dos puntos (:). OPCIONES GENERALES DE LAS REGLAS Message - Un mensaje significativo generalmente incluye lo que detecta la regla. La opción de regla de mensaje le dice a Snort qué mostrar cuando la regla coincide. Es una cadena de texto simple. Flow – Para que se active la regla, especifica en qué dirección se dirige el tráfico de la red. La palabra clave Flow se utiliza junto con el reensamblaje de la secuencia TCP. Permite que las reglas solo se apliquen a ciertas direcciones del flujo de tráfico. Reference – La palabra clave reference permite que las reglas incluyan referencias a fuentes externas de información. Classtype – La palabra clave classtype es cómo Snort comparte el efecto de lo que sería un ataque exitoso. sid/rev – El snort id es un identificador único para cada regla. Esta información permite que los complementos de salida identifiquen reglas fácilmente y deben usarse con la palabra clave rev (revisión). OPCIONES DE DETECCIÓN DE LA REGLAS Content - Esta importante característica permite al usuario establecer reglas que busquen contenido específico en la carga útil del paquete y
15
respuesta de activación basada en esos datos. Los datos de la opción pueden contener texto mixto y datos binarios. •
distance/offset – Estas palabras clave permiten al redactor de reglas especificar dónde comenzar a buscar en relación con el comienzo de la carga útil o el comienzo de una coincidencia de contenido.
•
within/depth – Estas palabras clave permiten que la regla escriba para especificar qué tan lejos avanzar para buscar en relación con el final de una coincidencia de contenido anterior y, una vez que se encuentra esa coincidencia de contenido, cuánto se debe buscar.
PCRE – La palabra clave pcre permite escribir reglas usando expresiones regulares compatibles perl que permiten coincidencias más complejas que simples coincidencias de contenido. Byte test – Las opciones byte_test permiten que una regla pruebe un número de bytes contra un valor específico en binario. Ejemplos: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (RULE_OPTIONS) alert udp $EXTERNAL_NET $FILE_DATA_PORTS -> $HOME_NET any (RULE_OPTIONS) alert http $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS ( msg: “Snort 3 http_header sticky buffer Example”; flow:to:sever,established; sid:2; )
16
4.
COMANDOS DE SNORT
Como ya se mencionó anteriormente, Snort es una herramienta que funciona en cuatro modos: •
Sniffer mode
•
Packet Logger Mode
•
Network Intrussion Detection System (NIDS)
•
Inline Mode
Los modos de ejecución de snort se activan dependiendo de los parámetros que le pasemos al programa. A continuación se mostrarán algunos de los parámetros mas importantes que se pueden utilizar en snort. Tabla 4.1. Parámetros de Snort.
Parámetros
Descripción
Ejemplo
Para activar los modos de ejecución Muestra en pantalla la dirección IP -v
y las cabeceras TCP/UDP/ICMP/. Pone
snort -v
Snort en modo sniffer. Sirve -l
para
especificar
el
directorio donde se almacenarán los ficheros
de
log
generados
por
para
especificar
el
del
archivo
de
Snort -l /etc/snort/config
snort. Se -c
utiliza
directorio
configuración snort.conf.
Snort -dev -c /etc/snort/snort.conf
17
Para mostrar información detallada sobre el tráfico -d
-e
Incluye todas las cabeceras de la
Snort -d
capa de red (TCP, UDP e ICMP). Incluye las cabeceras de la capa de
Snort -e
enlace. Para indicar el tipo de registro
-b
-L
-r
Snort -l
Indica loggin en modo binario.
/etc(snort/log -b
Sirve para especificar un archivo de log binario.
Snort -b -L {logfile}
Procesa un archivo de log grabado en modo binario.
Snort -dv -r packet.log
Para indicar el tráfico que vamos a analizar Se -h
utiliza
para
indicar
la
dirección IP de la red local de
Snort -h 10.1.0.0/24
actuación del Snort. -i
Indica la interfaz de red de donde obtiene los datos. Se
usan
para
ignorar
Snort -dev -i eth0
paquetes
(and/or/
procedentes de una dirección IP y
Snort -vd not host
not) host
funcionan con las expresiones and,
10.1.1.254
or, not. src net
(dst/src) port
Se utilizan para ignorar el trafico de la red origen indicada.
Snort -vd src net 10.1.1.0
Sirven para ignorar el trafico de
Snort -cd -r <file>
red que tengan el puerto indicado
not host 10.1.1.20
como destino u origen,
and src port 22
Así pues, en resumen:
18
Para iniciar el modo sniffer y visualizar en pantalla todo el tráfico TCP/IP debemos ejecutar el comando: $ snort -v Si queremos visualizar los campos de datos que pasar por la interfaz de red ejecutamos: $ snort -dev Para ejecutar snort en modo Packet Logger debemos utilizar el parámetro –l /var/log/snort. Donde /var/log/snort es el directorio donde se registra el tráfico. Para que Snort funcione en modo IDS, debemos pasar el parámetro -c directorio hacia snort.conf en el fichero de configuración snort.conf, especificamos
la
configuración
deseada.
Una
vez
realizada
la
configuración, el siguiente paso es hacer que snort se ejecute cada vez que arrancamos. Para ello, podemos realizarlo de distintas formas. Una de ellas es incluir el siguiente comando en el archivo de arranque: /etc/rc.d/rc.local: /usr/sbin/snort -d
-l /var/log/snort -c /etc/snort/snort.conf
Para utilizar el modo snort-inline debemos configurar nuestro sistema en modo bridge y utilizar un módulo de salida para que se comunique con iptables (por ejemplo, snortsam www.snortsam.net).
19
5.
INTERPRETACIÓN DE ALERTAS
Como se explicó anteriormente, las reglas generan alertas, así que en el siguiente apartado se profundizará sobre los modos de alerta y de qué manera se interpretan. Fast mode. Este tipo solo muestra información básica sobre cada uno de los eventos que han cumplido con alguna de las reglas definidas. Específicamente, la información que registra es la siguiente: •
Timestamp
•
Mensaje de alerta
•
Direccion de IP de origen y destino
•
Puerto de origen y destino
Para poder ejecutar en modo “fast” se utiliza el siguiente comando: snort –c {ruta archivo de configuración} –q –A fast De esta manera, frente a un evento coincidente con una regla definida, se puede verificar en el directorio de logs correspondiente (por lo general /var/log/snort/alerts) con la información relativa al evento. Ejemplo de alerta: 03/02-11:04:35.256648
[**]
[1:382:7]
ICMP
PING
Windows
[**]
[Classification: Misc activity] [Priority: 3] {ICMP} 192.168.1.5 -> 192.168.1.239 En donde: 03/02-11:04:35.256648 (Marca de tiempo) 20
1:382:7 (Numeración asociada a la descripción de la alerta) ICMP PING Windows (Nombre de la alerta) Classifications: Misc activity (Clasificación contenida en el archivo classification.config)
de
la
alerta
Priority: 3 (Prioridad de la alerta) ICMP (Protocolo asociado a la generación de la alerta) 192.168.1.5 (Origen que genera la alerta) 192.168.1.239 (Destino de quien genera la alerta)
Full mode. Este modo de alerta es más completo. El funcionamiento es similar al modo fast, pero en este caso se almacena más información referente al alerta. Para ejecutar snort en modo full se debe ejecutar el siguiente comando: snort –c {ruta archivo de configuración} –q –A full La información recopilada es la siguiente: •
TTL: Time to live del paquete
•
TOS: Corresponde al Type of Service en la cabecera del paquete IP
•
IPLen: es el tamaño de la cabecera del paquete IP
•
DgmLen: tamaño completo del paquete
•
Tipo de campo: tipo de paquete ICMP (corresponde a un ping en este caso)
•
Valor: Corresponde al código ICMP
•
ID: Corresponde al valor de identificador del paquete 21
•
Número de secuencia: Corresponde al valor numérico de la secuencia de paquetes.
•
Tipo de paquete: En este caso es un paquete ICMP de tipo ECHO
Esta información permite al auditor obtener más información sobre las alertas registradas por el sistema y, por lo general, suelen utilizarse para alimentar otro tipo de herramientas con la información ampliada. Ejemplo de alerta: [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 3] 03/02-11:06:05-314380
0:4:75:ED:89:DF
->
0:15:C5:89:85:5B
type:0x800 len:0x4A 192.168.1.5 -> 192.168.1.239 ICMP TTL:128 TOS:0x0
ID:56307
IpLen:20
DgmLen:60
Type:8
Code:0
ID:1280
Seq:12288 ECHO En donde: 1:382:7 (Numeración asociada a la descripción de la alerta) ICMP PING Windows (Nombre de la alerta) Classifications: Misc Activity (Clasificación contenida en el archivo classification.config)
de
la
alerta
Priority: 3 (Prioridad de la alerta) 03/02-11:06:05.314380 (Marca de tiempo) 0:4:75:ED:89:DF -> 0:15:C5:89:85:5B (Direcciones físicas MAC de origen y destino) type:0x800 (Corresponde a Type IP) 22
len:0x4A (Corresponde a Frame Length. Tamaño del frame o paquete (74 bytes)) 192.168.1.5 -> 192.168.1.239 (Origen y destino) ICMP (Protocolo) TTL:128 (Tiempo de vida) TOS:0x0 (Tipo de servicio) ID:56307 (Identificador de sesión) IpLen:20 (Corresponde con la cabecera IP Tamaño de la cabecera o Header Length (20 bytes)) DgmLen:60 (Corresponde con total Length (60)) Type:8 Code:0 ID:1280 Seq:12288 ECHO (Corresponde a ICMP, tipo código, identificador y se trata de un Ping Echo request)
Unix socket mode. Este modo permite redirigir las alertas a un socket. De esta forma, si se utiliza otro software o servicio que se encuentra a la escucha en el algún puerto, es posible incorporar este tipo de alertas. Para ejecutar snort en este modo solo hace incorporar el parámetro –a unsock. Syslog. Los administradores de red suelen revisar los logs y eventos del sistema, los cuales se encuentran en syslog. Si se desea que snort dirija las alertas al syslog, solo hace falta incorporar el parámetro –s, y de esa forma, las alertas pasarán a formar parte de los eventos del sistema. Finalmente, en el caso de que no se desee recibir alertas por parte de snort, solo debe incluirse el parámetro –A none.
23
REFERENCIAS
ESET. (2014, 24 de enero). Modos de alerta de Snort para un entorno corporativo.
Welivesecurity.
https://www.welivesecurity.com/la-
es/2014/01/24/modos-alerta-snort-para-un-entorno-corporativo/ Giménez, M. (2008). Utilización de Sistemas de Detección de Intrusos como Elemento de Seguridad Perimetral [tesis no publicada, Universidad de
Almería].
Repositorio
Institucional.
http://www.adminso.es/index.php/Proyectos_dirigidos Gómez, R. (2008, 20 de noviembre). Snort [presentación de diapositivas]. Tecnológico de Monterrey. http://homepage.cem.itesm.mx/ Mansour, Y. (2020, 22 de mayo). Rules Authors Introduction to Writing Snort 3 Rules. Snort. https://www.snort.org/documents Snort. (s.f.). Snort – Network Intrusion Detection & Prevention System. Snort. https://www.snort.org/ Valencia, M. (2016). Proyecto Seguridad en Redes y Sistemas [Universitat Oberta
de
Catalunya].
Repositorio
Institucional.
http://openaccess.uoc.edu/webapps/o2/handle/10609/53346?mo de=full
24
