Trabajo: Sistema de Detección de Intrusos (IDS). Snort

Actividades[pic 1]

Trabajo: Sistema de Detección de Intrusos (IDS). Snort

Un servidor en el que se encuentra instalado Snort está monitorizando todo el tráfico de la subred 172.16.0.0 con máscara 255.255.0.0. En adelante nos vamos a referir a esta subred como subred_A. El alumno debe escribir las reglas de Snort que permitan registrar los siguientes eventos:

1. La palabra GET se utiliza en el protocolo HTTP para indicar un recurso a descargar y aparece siempre al inicio de los mensajes. Introduce una regla en snort que detecte el patrón «GET» en la parte de datos de todos los paquetes TCP que abandonan la subred_A y van a una dirección que no forma parte de la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectado GET».

Primero que nada, debemos instalar los servicios de snort; para ello primero hay que actualizar el sistema, con los siguientes comandos

#apt-get update

#apt-get upgrade

#apt-get install snort

Una vez instalado snort accedemos al archivo de configuraciones snort.conf para definir la variable subred_A. Este archivo s eencuentra localizado en la dirección: /etc/snort. Dentro del archivo de configuración hay un apartado en donde se encuentran definidas unas variables predetermidas del servicio, ahí ingresamos nuestra variable.

[pic 2][pic 3]

Teniendo en cuenta lo anterior, procedemos a escribir la regla, que puede alojarse en el archivo local.rules, ubicado en /etc/snort/rules. *He usado el editor de texto geany para toda esta operación. La sintaxis de la regla consiste en mandar una alerta si los paquetes que salen de la subred_A hacia cualquier dirección, de cualquier puerto, y que contenga el patrón GET, y la alerta enviará un mensaje GET DETECTED, al final se agrega una identificación de la regla (sdi), de manera obligatoria ya que manda error si se omite.[pic 4]

[pic 5]

Después reiniciamos el servicio snort, y analizamos que no hay ningún error en la ejecución.[pic 6][pic 7]

1. Introduce una regla que intente buscar la palabra «HTTP» entre los caracteres 4 y 40 de la parte de datos de cualquier paquete TCP con origen en la subred_A y van a una dirección que no forma parte de la subred_A. En el fichero de log, el registro debe contener el mensaje «Detectado HTTP».

Realizamos el mismo procedimiento en cuanto a la modificación del archivo local.rules [pic 8][pic 9]

La sintaxis es similar, en esta ocasión negamos la dirección de la red subred_A, para indicar que cualquier paquete que se transporte fuera de esa red, es el que será analizado, y mandará una alerta si encuentra la palabra HTTP entre los caracteres 4 y 40. Asignamos un número de regla, agrego que seleccionamos los números después del millón, debido a que los números anteriores, han sido ocupados en los archivos de reglas que se encuentran en snort.conf.

Reiniciamos y probamos el servicio.

1. Crea dos reglas para detectar cuando alguien está intentando acceder a una máquina situada en la subred_A cuya dirección IP es 172.16.1.3 al puerto 137 y los protocolos tanto UDP como TCP. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Intento de acceso al puerto 137 y el protocolo <TCP|UDP>».

Mismo procedimiento.[pic 10][pic 11]

[pic 12][pic 13]

Reiniciamos y probamos el status de las reglas.[pic 14][pic 15]

[pic 16]

1. Configura una única regla de Snort que permita capturar las contraseñas utilizadas (comando PASS) al conectarse a servicios de transferencia de ficheros (FTP) o de consulta de correo (POP3) desde la máquina con dirección IP 172.16.1.3 situada en la subred_A. Cuando se detecte el patrón indicado la regla debe lanzar una alerta con el mensaje «Detectada una contraseña».

En casos anteriores, indicábamos los puertos como cualquiera en la sintaxis, pero en este caso se nos requiere de una alerta para puertos específicos, por lo que hay que definirlos (definí el 995 porque igual cuenta como correo).[pic 17][pic 18]

Debido a un error que cometí en la sintaxis, reinicié el servicio 2 veces (:), una vez corregido, se aprecia que la ejecución marcha de manera perfecta.[pic 19]

...