Scribd Logo
Unggah

Selamat datang di Scribd!

  • Instalacion IDS y Verificacion de Alerts

    Diunggah oleh

    InformationSecurity
    244 tayangan3 halaman

    Judul Asli

    2. Instalacion IDS y verificacion de alerts

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    DOC, PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai DOC, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    244 tayangan3 halaman

    Instalacion IDS y Verificacion de Alerts

    Diunggah oleh

    InformationSecurity

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai DOC, PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 3

    2.

    Instalacion IDS y verificacion de alerts

    Primero instalaremos el snort y nmarp para la realizacion de las pruebas.


    Aptitude -y install nmap snort

    Tenga en cuanta que snort le pide que configure la interfaz de red por la cual
    desea escuchar el trafico. Para ver cual es su interfaz de red ejecute.

    route -n

    Y seleccione la interfaz (ultima columna) para el destino 0.0.0.0. Cuando pregunte


    por la red en formato CIDR cambie el valor especificado por any.

    Instalar apache2 y openssh-server para tener servidores de prueba.


    Aptitude -y install apache2 openssh-server

    Pare el servicio de snort ya que estaremos ejecutandolo manualmente y la interfaz


    local.
    /etc/ini.d/snort stop
    Desactivemos las alertas de trafico local en el archivo
    /etc/snort/rules/bad-traffic.rules, comente con # al principio de la linea a la alerta
    que esta descrita de la siguiente manera

    'alert ip any any <> 127.0.0.0/8 any (msg:"BAD-TRAFFIC loopback traffic"...'


    (línea 10)

    Para que no siga generando alertas a trafico con destino el equipo local.

    Ahora vamos a crear alertas en el IDS (snort) que nos notificara cuando sucedan
    los siguientes sucesos:

    − Una alerta que detecte cuando se está intentando acceder al script


    http://hacer.com/script.js

    alert tcp any any -> any any (content:"http://hacer.com/script.js"; msg:"Acceso


    http://hacer.com/script.js detectado";sid:1000000;)

    − Una alerta que detecte cuando se esté recibiendo mensajes icmp de timestap-
    request.

    alert icmp any any -> any any (itype: 13; msg:"Timestap-request
    detectado";sid:1000001;)

    − Una alerta que detecte cuando se esté recibiendo mensajes icmp de netmask-
    request.

    alert icmp any any -> any any (itype: 17; msg:"netmask-request
    detectado";sid:1000002;)

    − Una alerta que detecte cuando se esté enviando una petición http tipo POST a un
    archivo .html.

    alert tcp any any -> any any (content:"POST"; msg:"POST


    Encontrado";sid:1000003;)

    Estas condiciones de alerta hay que subirlas al IDS (snort) en el archivo


    /etc/snort/rules/local.rules o dentro del archivo /etc/snort/rules/bad-
    traffic.rules si lo prefiere.

    Cuando tengamos los alerts creados activaremos el snort manualmente de la


    siguiente manera:
    snort -i lo -c /etc/snort/snort.conf

    Abrimos otra terminal para probar si las alertas estan bien configuradas usando el
    nmap (herramienta de escaneo de red y puertos). El orden que seguiremos sera
    para verficar las alerts creadas anteriormente.

    Alerta de script: Escribir en el navegador http://hacer.com/script.js


    Timestamp: nmap -sP -PM localhost o ping -tstamp localhost
    Netmask: nmap -sP -PP localhsot
    POST: Realizar una peticion post en cualquier sitio web, la mayoria lo hace con
    un simple click.

    Todos los mensajes activados seran guardados en el archivo /var/log/snort/alert


    cuando un cliente o usuario realice alguna accion que cumpla con requerimientos
    que dispusimos en los alerts.

    Anda mungkin juga menyukai