Instalar y configurar modsecurity (Apache)
Enviado por Fabian Nieto • 29 de Octubre de 2019 • Tarea • 583 Palabras (3 Páginas) • 416 Visitas
Actividades[pic 1]
Trabajo: Sistema de Detección de Intrusos (IDS). Snort
Un servidor en el que se encuentra instalado Snort está monitorizando todo el tráfico de la subred 172.16.0.0 con máscara 255.255.0.0. En adelante nos vamos a referir a esta subred como subred_A. El alumno debe escribir las reglas de Snort que permitan registrar los siguientes eventos:
- La palabra GET se utiliza en el protocolo HTTP para indicar un recurso a descargar y aparece siempre al inicio de los mensajes. Introduce una regla en snort que detecte el patrón «GET» en la parte de datos de todos los paquetes TCP que abandonan la subred_A y van a una dirección que no forma parte de la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectado GET».
Regla SNORT
ipvar Subred_A [172.16.128.0/16]
alert tcp Subred_A any -> $EXTERNAL_NET any (msg: “METODO GET DETECTADO; content: “GET”; http_method; sid:10000001;rev:1;)
Log generado
[pic 2]
- Introduce una regla que intente buscar la palabra «HTTP» entre los caracteres 4 y 40 de la parte de datos de cualquier paquete TCP con origen en la subred_A y van a una dirección que no forma parte de la subred_A. En el fichero de log, el registro debe contener el mensaje «Detectado HTTP».
Regla SNORT
alert tcp Subred_A any -> $EXTERNAL_NET any (msg: “HTTP DETECTADO; content: “HTTP”; offset: 4; depth:40; sid:10000002;rev:1;)
Log generado
[pic 3]
- Crea dos reglas para detectar cuando alguien está intentando acceder a una máquina situada en la subred_A cuya dirección IP es 172.16.1.3 al puerto 137 y los protocolos tanto UDP como TCP. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Intento de acceso al puerto 137 y el protocolo
».
Realice un cambio de dirección IP destino, cambiando 172.16.1.3 por 172.16.128.1, que es donde se encuentra ejecutando el servicio NetBios (puerto 137).
Regla SNORT
alert tcp $Subred_A any -> 172.16.128.1 137 (msg: " Intento de acceso al puerto 137 y el protocolo TCP "; sid:1000003; rev:1;)
Para que Snort detecte la conexión TCP se procede a abrir el puerto en el servidor mediante nc.
[pic 4]
Desde el cliente, se efectúa la conexión a la dirección IP 172.16.128.1 mediante el puerto 137/TCP.
[pic 5]
Posteriormente, Snort detecta el evento.
Log generado
[pic 6]
Regla SNORT
alert udp $Subred_A any -> 172.16.128.1 137 (msg: " Intento de acceso al puerto 137 y el protocolo UDP "; sid:1000004; rev:1;)
Para que Snort detecte la conexión UDP se procede a abrir el puerto en el servidor mediante nc.
[pic 7]
Desde el cliente, se efectúa la conexión a la dirección IP 172.16.128.1 mediante el puerto 137/UDP.
...