Manual Técnico
“Prevención de Ataques Informáticos”
SEMESTRE LECTIVO: 2018-2 (ABRIL DEL 2018)
ELABORADO POR:
pág. 1
Capítulo 1: Presentación
1.1 Introducción
En la actualidad, las personas se han vuelto cada vez más dependientes de
las tecnologías y de Internet. Hoy, no hay usuario sin un equipo informático con
acceso a la gran red, ni empresa que no utilice Internet como parte de su negocio.
Por otro lado, si bien las soluciones de seguridad han mejorado notablemente la
experiencia del usuario, no existe una aplicación que brinde el 100% de protección
frente a la amplia diversidad de problemas potenciales a los que se expone
cotidianamente al hacer uso de las tecnologías. Existen ciertos aspectos de la
seguridad que resultan fundamentales para evitar que los sistemas operativos, de
usuarios hogareños, corporativos y las redes de trabajo en su conjunto,
constituyan objetivos sumamente vulnerables frente a diferentes tipos de
amenazas. Los códigos maliciosos representan uno de los factores de riesgo más
importantes y difíciles de controlar a los que una organización se puede enfrentar.
Por ello, para mantener el equipo en óptimas condiciones, deben adoptarse una
serie de medidas prácticas tendientes a reforzar la protección del sistema y
fortalecer así el entorno de información en tanto se minimizan los riesgos de
infección. Como empresa tenemos la obligación y responsabilidad de ayudar a
nuestros usuarios, debemos tener en cuenta varias medidas de seguridad para
preservar y conservar nuestra maquina en las mejores condiciones.
pág. 2
Índice
pág. 3
3.25 Mejorar el rendimiento ............................................................................................... 20
3. 26 Tipos de intrusos ........................................................................................................ 21
3.27 Técnicas de intrusión ................................................................................................... 22
3.28 Control de acceso ....................................................................................................... 23
3.29 Detección de los intrusos ............................................................................................ 23
3.30 Protección con contraseñas ......................................................................................... 24
3.31 Monitoreo de equipos.............................................................................................. 24
3.32 Precaución con archivos adjuntos de email ............................................................... 24
3.33 Precaución con links................................................................................................. 24
3.34 Usar un antivirus y mantenerlo actualizado .............................................................. 25
3.35 DEFENSAS ACTIVAS .................................................................................................. 25
3.36 ENCRIPTACION DE DATOS ........................................................................................ 25
3.37 SOFTWARES DE SEGURIDAD INFORMATICA .............................................................. 25
3.38 DEFENSAS PASIVAS .................................................................................................. 26
3.39 Su navegador web. .................................................................................................. 26
3.40 Seguridad informática para usuarios ........................................................................ 27
3.41 Consejos básicos ...................................................................................................... 27
3.42 Hacer respaldos de tus datos .................................................................................... 27
3.43 Documentación privada: archivos, carpetas y discos cifrados ................ 28
3.44 Borrado seguro ........................................................................................................ 29
Capítulo 4 : Procedimientos en caso de la detección de algún ataque o intruso. ............................ 29
4.1 Wireshark ................................................................................................................... 29
4.2 Estrategias que previenen ataques a la red de la empresa. ...................... 34
4.3 Firewall ....................................................................................................................... 34
4.4 Contraseñas ................................................................................................................................ 37
4.5 Antivirus ..................................................................................................................................... 40
4.6 Mecanismos de antivirus para la detección de virus .................................................................. 41
4.7 Instalación de antivirus avast ...................................................................................................... 42
4.8 Snort ........................................................................................................................................... 48
4.10 Conclusión ................................................................................................................................ 51
4.11 Referencias bibliográficas: ....................................................................................................... 52
pág. 4
Capítulo 2: OBJETIVOS
pág. 5
Capítulo 3: Marco teórico
Los IDS han ganado aceptación como una pieza fundamental en la infraestructura
de seguridad de la organización. Hay varias razones para adquirir y usar un IDS
pág. 6
3.4 Para prevenir problemas
Al incrementar la posibilidad de descubrir y castigar a los atacantes, el
comportamiento de algunos cambiará de forma que muchos ataques no llegarán a
producirse. Esto también puede jugar en nuestro contra, puesto que la presencia
de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del
atacante.
pág. 7
La mayor parte de los sistemas de detección de intrusos están basados en red.
Estos IDSs detectan ataques capturando y analizando paquetes de la red. Un
NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están
conectados a ese segmento de red, protegiendo así a estos hosts.
Los IDSs basados en red a menudo están formados por un conjunto de sensores
localizados en varios puntos de la red. Estos sensores monitorizan el tráfico
realizando análisis local e informando de los ataques que se producen a la consola
de gestión. Muchos de estos sensores son diseñados para correr en modo oculto,
de tal forma que sea más difícil para un atacante determinar su presencia y
localización.
Ventajas:
Desventajas:
pág. 8
los ficheros de auditoría del sistema operativo. Esto permite que el IDS analice las
actividades que se producen con una gran precisión, determinando exactamente
qué procesos y usuarios están involucrados en un ataque particular dentro del
sistema operativo.
Ventajas:
Desventajas:
Los IDS basados en hosts son más costosos de administrar, ya que deben ser
gestionados y configurados en cada host monitorizado. Mientras que con los NIDS
teníamos un IDS por múltiples sistemas monitorizados, con los HIDS tenemos un
IDS por sistema monitorizado.
No son adecuados para detectar ataques a toda una red (por ejemplo, escaneos
de puertos) puesto que el IDS solo ve aquellos paquetes de red enviados a él.
Usan recursos del host que están monitorizando, influyendo en el rendimiento del
sistema monitorizado.
pág. 9
técnica usada por la mayoría de sistemas comerciales. La detección de
anomalías, en la que el análisis busca patrones anormales de actividad, ha sido y
continúa siendo objeto de investigación. La detección de anomalías es usada de
forma limitada por un pequeño número de IDS.
Ventajas:
Desventajas:
Solo detectan aquellos ataques que conocen, por lo que deben ser
constantemente actualizados con firmas de nuevos ataques.
Muchos detectores de abusos son diseñados para usar firmas muy
ajustadas que les privan de detectar variantes de ataques comunes.
pág. 10
por un usuario en un periodo de tiempo dado, el número de intentos fallidos para
entrar en el sistema, la cantidad de CPU utilizada por un proceso, etc. Este nivel
puede ser estático o heurístico.
Ventajas:
pág. 11
Cambio del entorno: otra respuesta activa consiste en parar el ataque; por
ejemplo, en el caso de una conexión TCP se puede cerrar la sesión
establecida inyectando segmentos TCP RST al atacante y a la víctima o
filtrar en el router de acceso o en el firewall la dirección IP del intruso o el
puerto atacado para evitar futuros ataques.
pág. 12
medios empleando buenas prácticas que permitan controlar de manera eficaz las
necesidades de seguridad.
pág. 13
monitorear de manera pormenorizada el acceso a determinados sitios web en
cada uno de los nodos que forman parte de la red corporativa.
pág. 14
deniegan el acceso a los recursos de la primera. De esta manera, las acciones
del antivirus se ven complementadas con la creación de una capa de seguridad
que permite proteger la información que fluye por dentro y hacia fuera del entorno.
3.20 Snort
Snort es un IDS en tiempo real desarrollado por Martin Roesch y disponible bajo
GPL. Se puede ejecutar en máquinas UNIX y Windows. Es el número uno en
sistemas de detección de intrusos en este momento. Dispone actualmente de
unas 1.600 reglas y de multitud de aplicaciones para el análisis de sus alertas.
En un principio fue diseñado para cumplir los requerimientos de un IDS ligero para
uso como prototipo. Era pequeño y flexible, pero poco a poco ha ido creciendo e
incorporando funcionalidades que solo estaban presentes en los IDSs
comerciales.
pág. 15
La arquitectura de Snort se enfocó par ser eficiente, simple y flexible. Snort está
formado por tres subsistemas: el decodificador de paquetes, la máquina de
detección y el subsistema de alerta y logs. Corren por encima de la librería
libpcap, la cual es portable y proporciona mecanismos de filtrado y captura de
paquetes.
Permite definir modos de alerta y log no nativos a Snort, como bases de datos
(MySQL, Oracle, PostgreSQL, MS-SQL), SNMP traps, CSV o salida en formato
XML, por ejemplo.
pág. 16
3.23 Subsistema de alerta y log
Actualmente hay tres sistemas de log y cuatro de alerta. Las opciones de log
pueden ser activadas para almacenar paquetes en forma decodificada y
entendible por humanos o en formato tcpdump. El formato decodificado se usa
para un análisis rápido y el tcpdump es mucho más rápido de almacenar y
proporciona un mayor rendimiento. También avisan del tipo de ataque detectado y
ofrece información adicional como IP origen y destino, fecha y hora de la detección
y campo de datos.
pág. 17
3.24 Configuración de Snort
Snort lo podemos descargar de www.snort.org/dl/snort-1.8.7.tar.gz
Existen multitud de tipos de reglas en Snort, entre los que cabe destacar:
DDoS y DoS: Detecta ataques DDoS como Stacheldraht, Trin00, TFN y DoS como
Teardrop, Land-to-Land y Winnuke.
pág. 18
Shellcode: basadas en el shellcode común entre múltiples exploits de uso público,
como operaciones NOOP y llamadas al sistema en distintas plataformas hardware
y software. Estas los patrones de estas firmas son buscados en todos los puertos,
por lo que activando estas firmas (no cargadas por defecto) el rendimiento cae
estrepitosamente.
Se han utilizado las reglas que vienen con Snort por defecto en la instalación,
unas 1700 en la versión 1.8.7beta2, y se han cargado todas (cosa que no viene
por defecto) en snort.conf como peor de los casos de carga máxima que la
máquina deberá soportar. Más tarde, cuando el IDS sea gestionado por
administradores de la red de la Universidad como sistema de producción real, se
pueden eliminar el conjunto de reglas que no se considere oportuno.
Se añadió una regla nueva que registraba cada intento de conexión. La regla es la
siguiente:
pág. 19
Para conseguir esto, Snort utiliza una técnica conocida como spoofing y muy
utilizada por los intrusos, que consiste en falsear la dirección IP origen de los
paquetes que enviamos, algo trivial en IPv4, pero que no suele funcionar muy bien
cuando monitorizamos medios dedicados muy rápidos, ya que para cuando Snort
ha enviado su TCP RST con el número de secuencia adecuado, los hosts
implicados en la conexión ya han avanzado en su conversación y descartan los
segmentos que Snort les envió.
pág. 20
3. 26 Tipos de intrusos
Usuario fraudulento
Hace referencia a un usuario que accede de manera ilegal a recursos de la
organización o que, teniendo los permisos, hace uso indebido de la información
disponible.
Suplantador
Es una persona que no tiene nada que ver con los accesos legales en la
organización pero que logra llegar hasta el nivel de tomar la identidad de un
usuario legítimo para acceder y realizar el daño.
Usuario clandestino
Es una persona que puede tomar el control de auditoria del sistema de la
organización. Normalmente el suplantador es una persona externa, el usuario
fraudulento es interno y el usuario clandestino puede ser externo o interno. Los
ataques de los intrusos, sin importar el tipo que sean, pueden ser catalogados
como graves o benignos, en el benigno únicamente acceden para ver lo que hay
en la red mientras que en los graves se puede robar información y/o modificar
dentro de la misma.
pág. 21
3.27 Técnicas de intrusión
Como sabemos la forma común de acceder a un sistema es a través de
contraseñas y esto es a lo que el intruso apunta, adquirir contraseñas usando
diferentes técnicas para así lograr su objetivo de violar los accesos y obtener
información. Es recomendable que nuestro archivo de contraseñas esté protegido
con alguna de los siguientes métodos:
Cifrado unidireccional
Esta opción almacena únicamente una forma cifrada del password del usuario así
cuando el usuario ingresa su contraseña el sistema la cifra y la compara con el
valor que tiene almacenado y si es idéntica habilita el acceso de lo contrario lo
deniega.
Control de acceso
Los métodos que usan comúnmente los hackers, según algunos análisis son:
Cifrado unidireccional
Las funciones HASH o resumen se basan en realizar un cálculo que devuelve un
valor de longitud fija sobre el texto que deseamos cifrar. Este cifrado no es
reversible, y normalmente se utiliza para almacenar claves de usuario (al realizar
la verificación de identidad, se calcula el valor HASH de la contraseña introducida,
y si coincide con el HASH de la almacenada, se considera correcta). La gran
ventaja de un cifrado HASH es que accediendo, por ejemplo a la tabla de
pág. 22
usuario/contraseña almacenada en un directorio la información no es
comprometedora
Podemos implementar dichos registros para que sólo nos muestre la información
requerida por el sistema de detección de intrusión.
pág. 23
Registros nativos de auditoría:
Aunque los remitentes parezcan conocidos, hay que evitar ingresar a links
en los que se soliciten nombres de usuario, contraseñas o información
personal.
pág. 24
3.34 Usar un antivirus y mantenerlo actualizado
Se trata del cifrado de datos con el que se garantiza que nadie lea la
información por el camino, el remitente sea realmente quien dice ser, el
contenido del mensaje enviado, no sea modificado en su tránsito.
pág. 25
Software Antispyware: orientados a la detección, bloqueo y eliminación de
software espía.
Podremos guardar los datos en una partición distinta a la que utilizamos para
instalar el sistema operativo, de forma que si tenemos que formatear el equipo
no necesitaremos sacar todos los datos
COPIAS DE SEGURIDAD
pág. 26
3.40 Seguridad informática para usuarios
Todo tipo de almacenamiento digital es propenso a fallas. Los discos duros, cd’s,
dvd’s, y memorias de usb pueden fallar en cualquier momento. Es difícil predecir
las condiciones bajo las cuales eso puede pasar. La única solución viable para
prevenir la perdida de datos es mantener múltiples respaldos de tu información.
Discos Duros Hoy en día los discos duros externos son relativamente
económicas y pueden contener grandes cantidades de información.
Comprar uno o más discos duros externos para sus respaldos y
mantenerlos en un lugar seguro y en buen estado puede ser muy buena
inversión.
Discos ópticos Hacer respaldos con medios ópticos como CD’s y DVD’s
grabables sigue siendo una opción viable. En el caso de los discos ópticos
es muy importante quemar por lo menos 2 copias idénticas de cada disco
ya que es conocido que los CD’s DVD’s deterioran sobre tiempo.
pág. 27
Memoria Flash Las memorias tipo usb y otros tipos almacenamiento
basados en memoria flash solo se deben emplear como medios de
respaldo temporal ya que aún no son comprobados sus características de
degradación sobre tiempo.
Utilizar una combinación de los medios mencionados puede ser ideal. Sin importar
el método que escoges es altamente recomendable hacer un plan de respaldos de
tu información y hacerlo de forma periódica y sistemática.
Las computadoras y los discos pueden ser robados, extraviados o caer en las
manos equivocados. Si tienes datos sensibles que no deben ser revisados por
otras personas debes tomar precauciones para protegerlos. Si utilizas un sistema
operativo de software libre como GNU Linux existen varios opciones para cifrar
sus datos de manera que solo pueden ser revisados con una clave o contraseña
que mantienes secreto.
pág. 28
Tomb – Tomb es un software desarrollado por el equipo de Dynebolic. Es
similar a Cryptkeeper pero basado en DM-crypt. Mas info:
github.com/dyne/Tomb/wiki
pág. 29
Utilización
Características
La barra de Menús.
El menú de Wireshark se encuentra en la parte superior de la ventana de
Wireshark
El Menú File
Este menú contiene opciones para abrir y combinar archivos de captura, guardar /
imprimir / exportar archivos de captura en su totalidad o en parte, y para salir de
Wireshark.
pág. 30
Open: Este elemento de menú abre el cuadro de diálogo de abrir archivo que le
permite cargar un archivo de captura para su visualización.
2. Open Recent: Este elemento de menú muestra un sub menú que contiene
los archivos de captura abiertos recientemente.
pág. 31
Importar capturas
Guardar como:
Este elemento de menú le permite guardar el archivo de captura actual a cualquier
archivo que desee. Se aparece el archivo de captura cuadro de diálogo Guardar
Como
pág. 32
Set del archivo
Lista de archivos Esta opción de menú le permite mostrar una lista de archivos en
un conjunto de archivos. Se aparece el cuadro de diálogo Set List File Wireshark
Las siguientes funciones en el "Set File" submenú del menú "Archivo" están
disponibles para trabajar con conjuntos de archivos de una forma sencilla
pág. 33
4.2 Estrategias que previenen ataques a la red de la empresa.
Una vez iniciada la captura es posible filtrar los paquetes capturados de acuerdo a
la necesidad de quien esté analizando el malware. Como primer tarea, es
posible reconocer a que servidores se conectó a través de las peticiones del DNS.
si se escribe DNS en el campo de los filtros y se lo aplica, serán visibles todas las
posible obtener todos los GET y POST que fueron realizados durante el periodo
de captura. Este tipo de peticiones es muy utilizado por los códigos maliciosos,
aplicaciones.
4.3 Firewall
pág. 34
conectes a Internet, deberás protegerte contra el adware y el spyware mediante un
firewall.
Función
La computadora podría tener algún punto débil, y este punto débil puede ser
conocido por los hackers, pero no necesariamente por ti. Si no mantienes tu
sistema operativo y tu software debidamente actualizado, un firewall podrá
ayudarte a prevenir que personas maliciosas saquen provecho de las
vulnerabilidades de tu sistema.Si la computadora está infectada, los firewalls, si
están configurados y actualizados, pueden evitar que tanto el adware como el
spyware “llamen a casa”, de modo que las propagandas no sean entregadas en tu
máquina y, asimismo, ésta no sea monitoreada y grabada.El spyware y el adware,
una vez instalados, pueden abrir "agujeros" en tu máquina a través de los cuales
pueden entrar otras amenazas. Un firewall instalado en forma correcta y
actualizada puede tapar muchos de estos agujeros, ayudando a prevenir que otros
enemigos infecten tu computadora.
Utilización
Cuando un intercambio de información se va a producir, el firewall informa al
usuario del tipo de datos (salientes/entrantes), la dirección IP y del puerto
concernido (bajo la forma), el nombre de dominio (el "sitio web") que envía la
solicitud (si está disponible), y, en el caso de programas que quieran tomar control
del equipo, el firewall pregunta al usuario si bloquea o abre los puertos. En el caso
de datos entrantes, es posible desactivar las alertas para que el firewall bloquee
automáticamente los puertos sin esperar una respuesta del usuario.
pág. 35
Tipos de firewall
Firewall proxy
Los firewalls han evolucionado más allá de la inspección activa y el filtrado simple
de paquetes. La mayoría de las empresas están implementando firewalls de
pág. 36
próxima generación para bloquear las amenazas modernas, como los ataques de
la capa de aplicación y el malware avanzado.
4.4 Contraseñas
pág. 37
laboral, las consecuencias pueden llegar a ser catastróficas si un tercero suplanta
nuestra identidad utilizando nuestro usuario y contraseña. Así, podría acceder a
los sistemas corporativos con nuestro usuario y, bien sustraer todo tipo de
información del trabajador y/o la empresa, o bien utilizar esta entrada para
modificar o incluso eliminar archivos, con las consecuencias económicas, de
responsabilidad jurídica y pérdidas de imagen que ello supondría.
pág. 38
elección y cuáles son los permitidos. Dentro de ese consejo se
incluiría utilizar símbolos como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [
\]^_`{|}~
pág. 39
Herramientas y soluciones informáticas
Existe también la posibilidad de recurrir a herramientas y soluciones de
software que creen las contraseñas seguras que vamos a utilizar.
4.5 Antivirus
Son programas que fueron creados en la década de los 80 con el objetivo de
detectar y eliminar virus informáticos. Con el paso del tiempo los sistemas
operativos e internet han evolucionado, lo que ha hecho que los antivirus se
actualicen constantemente, convirtiéndose en programas avanzados que no sólo
detectan los virus, sino que los bloquean, desinfectan archivos y previenen
infecciones de los mismos. Actualmente, los antivirus reconocen diferentes tipos
de virus como malware, spyware, gusanos, troyanos, rootkits, etc.
Funcionamiento
Cada programa maligno tiene un código de "firma" o huella digitales que lo
identifica, por lo cual es detectado por el antivirus. Algunos antivirus tiene la
capacidad de detectar programas malignos que no están en su base de datos.
Esto se realiza por medio del sondeo del sistema en busca de síntomas clásicos
de infección, como por ejemplo fechas extrañas en archivos, programas residentes
en la memoria, una configuración extraña.
pág. 40
Antivirus identificadores:
Este tipo de antivirus tiene objetivo identificar programas infecciosos que
pueden afectar el sistema. Además, rastrean secuencias de códigos
específicos vinculados con dichos virus.
Antivirus descontaminadores:
Tienen características similares a los identificadores. Sin embargo, se
diferencian en que estos antivirus se especializan en descontaminar un
sistema que fue infectado, a través de la eliminación de programas malignos.
El objetivo principal de este tipo de antivirus es que el sistema vuelva a estar
como en un inicio.
Firma digital: consiste en comparar una marca única del archivo con una
base de datos de virus para identificar coincidencias.
Detección heurística: consiste en el escaneo de los archivos buscando
patrones de código que se asemejan a los que se usan en los virus.
Detección por comportamiento: consiste en escanear el sistema tras
detectar un fallo o mal funcionamiento. Mediante este mecanismo se
pueden detectar software ya identificado o no, pero es una medida que se
usa tras la infección.
Detección por caja de arena: consiste en ejecutar el software en
máquinas virtuales y determinar si el software ejecuta instrucciones
maliciosas o no. A pesar de que este mecanismo es seguro, toma bastante
tiempo ejecutar las pruebas antes de ejecutar el software en la máquina
real.
pág. 41
4.7 Instalación de antivirus avast
INSTALACIÓN HABITUAL
INSTALACIÓN PERSONALIZADA
Descargue el instalador sin conexión para Avast Free Antivirus haciendo clic en el
botón que aparece a continuación:
pág. 42
Cuando se le pidan permisos en el cuadro de diálogo del Control de cuenta de
usuario, haga clic en Sí (o Continuar).
pág. 43
Haga clic en Continuar.
pág. 44
Si se le pide que instale Avast Free Mobile Security, haga clic sobre la opción
correspondiente según sus preferencias.
Avast Free Antivirus está ahora instalado en su PC y está listo para usarse. Puede
acceder a la interfaz de usuario de Avast a través del icono de la bandeja del
sistema de Avast en la barra de tareas de Windows, o bien con el icono de
Avast del escritorio de Windows.
Para registrar Avast Free Antivirus, vaya a Opciones ▸ Suscripción y haga clic
en Registrarse ahora. Para registrarse en la última versión de Avast, no es
necesario introducir los datos de contacto. Para obtener instrucciones detalladas,
lea el artículo siguiente:
pág. 45
Ya no es necesario registrar su Avast Free Antivirus, ya que su licencia gratuita
inicial se activa automáticamente después de la instalación. Cuando su licencia
gratuita expire, puede dejar que el programa la renueve automáticamente. Como
alternativa, puede activar manualmente su licencia de 1 año siguiendo los pasos
de este artículo.
En las instrucciones de este artículo, se da por hecho que Avast Free Antivirus ya
está instalado en el PC. Si todavía no ha instalado Avast Free Antivirus en el PC,
consulte los pasos del artículo siguiente:
pág. 46
Haga clic en Seleccionar en la columna Avast Free Antivirus.
Haga clic en el icono X en la pantalla nueva que aparece para volver a la pantalla
principal de Avast Free Antivirus.
pág. 47
4.8 Snort
Como se obtiene:
El Snort está disponible (http://www.snort.org/) bajo la licencia GPL, gratuito y
funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y
dispone de una gran cantidad de filtros o patrones ya predefinidos, así como
actualizaciones constantes ante caso de ataques, barridos o vulnerabilidad que
vayan siendo detectadas a través de los distintos boletines de seguridad.
Características:
Una característica muy importante e implementada desde hace pocas versiones
es FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de
baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa,
con lo cual cumpliría funciones de firewall, cortando las conexiones que cumplan
ciertas reglas predefinidas. No sólo corta las conexiones ya que puede realizar
otras muchas acciones.
pág. 48
4.9 Ejemplos de cómo configuración snort
C:\Snort20\bin>snort
-*> Snort! <*-
Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)
1.7-WIN32 Port By Michael Davis (mike@datanerds.net,
www.datanerds.net/~mike)
1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
USAGE: snort [-options] <filter options>
snort /SERVICE /INSTALL [-options] <filter options>
snort /SERVICE /UNINSTALL
Snort /SERVICE /SHOW
Options:
-A Set alert mode: fast, full, console, or none (alert file alerts only)
-b Log packets in tcpdump format (much faster!)
-c <rules> Use Rules File <rules>
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-e Display the second layer header info
-E Log alert messages to NT Eventlog. (Win32 only)
-f Turn off fflush() calls after binary log writes
-F <bpf> Read BPF filters from file <bpf>
-h <hn> Home network = <hn>
-i <if> Listen on interface <if>
-I Add Interface name to alert output
-k <mode> Checksum mode (all,noip,notcp,noudp,noicmp,none)
-l <ld> Log to directory <ld>
-L <file> Log to this tcpdump file
-n <cnt> Exit after receiving <cnt> packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P <snap> Set explicit snaplen of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r <tf> Read and process tcpdump file <tf>
-R <id> Include 'id' in snort_intf<id>.pid file name
-s Log alert messages to syslog
-S <n=v> Set rules file variable n equal to value v
-T Test and report on the current Snort configuration
-U Use UTC for timestamps
-v Be verbose
-V Show version number
-W Lists available interfaces. (Win32 only)
pág. 49
-w Dump 802.11 management and control frames
-X Dump the raw packet data starting at the link layer
-y Include year in timestamp in the alert and log files
-z Set assurance mode, match on established sesions (for TCP)
-? Show this information
<Filter Options>
are standard BPF options, as seen in TCPDump
pág. 50
4.10 Conclusión
Para concluir con este manual damos por entendido que existen múltiples puntos
de acceso para obtener Información y acceso a un entorno que se considera
seguro. Por lo tanto, las cuestiones relacionadas al ambiente informático por
mínimas que parezcan, y seguir las mejores prácticas recomendadas por los
profesionales de seguridad es un buen consejo a tener en cuenta. Por este motivo
hay que recordar siempre que el enemigo es la ignorancia y que el
desconocimiento siempre favorece a los atacantes. Como hemos visto, las
amenazas informáticas ponen en riesgo nuestra red y la integridad de nuestra
información. Es por esto, que el tomar las medidas de seguridad necesarias para
resguardar la integridad de los datos que se manejan en ella, se convierten en un
tema primordial de todo usuario. Existen diferentes medidas que se pueden
adoptar para prevenir las amenazas de la red como lo son: Antivirus, Anti-
spyware, firewall, actualizaciones del sistema, etc. Como hemos visto en la vida
diaria ocupamos la tecnología y estamos expuestos a los ataques informáticos por
ello las comunicaciones que hacen que se mueva el mundo utilizan computadoras,
equipos y sistemas; es así, que se han convertido estos en algo cotidiano pero de
lo cual dependemos, por eso es necesario tener todas las medidas pertinentes
para evitar fallas, ataques y fraudes. La falta de medidas de seguridad en las
redes es un problema que está en crecimiento. Cada vez es mayor el número de
atacantes y cada vez están más organizados, por lo que van adquiriendo día a día
habilidades más especializadas que les permiten obtener mayores beneficios.
Tampoco debes de subestimar las fallas de seguridad que provienen del interior
mismo de la organización.
pág. 51
4.11 Referencias bibliográficas:
(http://seguridadyredes.nireblog.com/post/2009/11/27/detectando-sniffers-en-nuestra-red-
redesconmutadas-y-no-conmutadas-actualizacion)
(http://wiki.wireshark.org/SampleCaptures)
(www-rnks.informatik.tu-cottbus.de/~sobirey/aid.e.html)
pág. 52