Ya vimos, en su momento, como interpretar los datos mostrados en las capturas de Wireshark. Hemos visto también otros aspectos de Wireshark como la detección de tráfico P2P, detección de archivos borrados y otros eventos, detección de Arp-poison, interpretación de captura de correo, etc.
Vamos ahora a iniciar una serie de capítulos dedicados a las gráficas.
Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. También vimos en la segunda parte TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.
En este capítulo terminaremos con este tipo de opciones de reglas con ipopts, flags, flow y window.
Snort Security Platform 3.0 Beta es la nueva plataforma IDS con una nueva arquitectura. De esta manera, ahora Snort separa el engine o motor de manejo de paquetes de la parte de detección de intrusos en forma de plugins, de forma que se puedan manejar una o más engines a la vez.
Se reescribe por completo todo el código. Otro cambio es la aparición de una línea de comandos para interactuar con Snort en el mismo momento de ejecutarlo o conectarnos con este mediante la herramientas “snortsp_tool”, pudiendo cambiar la configuración de Snort en "tiempo real".
El control de Snort se realizarán meidamnte el lenguage LUA que ya vimos de forma básica en Tshark, Wireshark en línea de comandos. (IV Parte.) Usando el lenguaje Lua.
Otras características implementadas son:
Podemos descargarlo desde snort-3.0.0-b2.tar.gz.
Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. ahora nos centraremos en TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.
Ya hemos estudiado como analizar los logs producidos por Snort con herramientas como Snortalog, administrar políticas y sensores Snort con IDS Policy Manager, actualizar los reglas con Okimaster, gestión de altertas con mysql, etc. En esté artículo vamos a usar Honeynet Security Console para centralizar y administrar eventos procedentes de Snort.
Y no solo de Snort, con HSC podemos administrar otros eventos procedentes de TCPDump, Firewall, Syslog, Sebek logs o una red de honeypots y correlacionar los eventos, mostrar gráficas, información detallada de cada evento, decodificación del payload....
Después de las vacaciones y una temporada de relajación bitacoril, además de temporada de bastante trabajo, sigo añadiendo contenido. En este caso seguimos con las opciones de las reglas Snort. Ya he hablado de las reglas en los diferentes artículos al respecto, el último de ellos referido a las reglas de contenido, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos). En este artículo vamos a tratar las opciones de reglas Snort que no está relacionadas con el contenido o Payload. Entre estas opciones veremos, a través de varios artículos, algunas como:
Página personal de Alfon. Repositorio de artículos própios y artículos mios publicados en otros medios.
OTROS SEGURIDAD:
Filtrado, Bloqueo y Ocultación de la publicidad en Opera: Fanboy's Adblock List
Método maty para la Creación de Contraseñas Seguras, en la Antigua Nautopía
Tags
Meneame
del.icio.us