Snort Security Platform 3.0 Beta es la nueva plataforma IDS con una nueva arquitectura. De esta manera, ahora Snort separa el engine o motor de manejo de paquetes de la parte de detección de intrusos en forma de plugins, de forma que se puedan manejar una o más engines a la vez.

Se reescribe por completo todo el código. Otro cambio es la aparición de una línea de comandos para interactuar con Snort en el mismo momento de ejecutarlo o conectarnos con este mediante la herramientas “snortsp_tool”, pudiendo cambiar la configuración de Snort en "tiempo real".

El control de Snort se realizarán meidamnte el lenguage LUA que ya vimos de forma básica en Tshark, Wireshark en línea de comandos. (IV Parte.) Usando el lenguaje Lua.

Otras características implementadas son:

• Snort toma "consciencia" del entorno de red en el que encuentra, de esta forma es ahora capaz de priorizar alarmas, detectar posibles ataques basados en técnicas de evasión y reducir en todo lo posible la configuración manual.
• Soporte nativo para IPv6, IPv4, MPLS y GR.
• Soporte para operar en modo inline.
• Aumento de plugins y módulos para adquisición de datos, decodificadores y analizadores de tráfico.
• Ejecución multihilo. De esta forma, como ya hemos visto, se ejecutan varios engines que pueden analizar de forma simultánea el mismo tráfico.
• Mejora del rendimiento.
• .......

Podemos descargarlo desde snort-3.0.0-b2.tar.gz.

Seguimos con las opciones de Snort que no está relacionadas con el contenido o Payload. Ya vimos en la primera parte las opciones Fragoffset y Fragbits. ahora nos centraremos en TTL, ID, Dsize, Seq, Ack, Icode, Itype y Tos, que forman parte de campos de la cabecera IP, segmento TCP, e ICMP.

Seguir leyendo el resto »

Ya hemos estudiado como analizar los logs producidos por Snort con herramientas como Snortalog, administrar políticas y sensores Snort con IDS Policy Manager, actualizar los reglas con Okimaster, gestión de altertas con mysql, etc. En esté artículo vamos a usar Honeynet Security Console para centralizar y administrar eventos procedentes de Snort.

Y no solo de Snort, con HSC podemos administrar otros eventos procedentes de TCPDump, Firewall, Syslog, Sebek logs o una red de honeypots y correlacionar los eventos, mostrar gráficas, información detallada de cada evento, decodificación del payload....

Seguir leyendo el resto »

Después de las vacaciones y una temporada de relajación bitacoril, además de temporada de bastante trabajo, sigo añadiendo contenido. En este caso seguimos con las opciones de las reglas Snort. Ya he hablado de las reglas en los diferentes artículos al respecto, el último de ellos referido a las reglas de contenido, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos). En este artículo vamos a tratar las opciones de reglas Snort que no está relacionadas con el contenido o Payload. Entre estas opciones veremos, a través de varios artículos, algunas como:

• fragoffset
• ttl
• id
• dsize
• fragbits
• seq
• ack
• icode
• tos
• .......

Seguir leyendo el resto »

Después de algún comentario y correos, vamos a estudiar el posicionamiento o colocación de un sniffer en nuestra red para obtener los resultados que esperamos.

Todo depende de la topología de red y el uso de hub o switch.

Este artículo es válido para cualquier sniffer de los que ya hemos visto. Wireshark, Tshark, WinDump / TCPdump, etc.

Seguir leyendo el resto »

Fruto de algún que otro comentario y algunos correos, en esta entrada voy a dar algunas pistas para tratar de descubrir y analizar el tráfico P2P en nuestra red. El tráfico generado por Ares, Emule / Edonkey, BitTorrent, etc, deja una serie de huellas con las que podemos trabajar para su descubrimiento. Para ello podemos usar cualquier sniffer tal como windump / tcpdump, Wireshark o Tshark, aunque son estos dos últimos los que continenen algunas utilidades que nos hará el trabajo más facil. De Esta forma nos será también más facil bloquearlos.

Seguir leyendo el resto »

Para la evaluación de rendimientos en las comunicaciones en nuestra red local y posterior optimización de los parámetros, disponemos de multitud de herramientas multiplataforma. Una de ellas es IPerf.

Con IPerf podemos medir el ancho de banda y rendimiento de una conexión entre dos host. Se trata, pues, de una herramienta cliente-servidor.

NOTA: Ya tenéis la segunda parte de este artículo: Jperf. El frontend gráfico de iperf. Rendimiento de la red.

Seguir leyendo el resto »

Aunque estamos viendo, en los diferentes artículos al respecto, las opciones para crear reglas Snort, y, en general, todo lo respecto a Snort com IDS (Sistema Detección de Intrusos), vamos a realizar una parada, para estudiarlo con más detenimiento, en content, opción de la regla que busca contenidos en la carga útil de un paquete o payload y las opciones de content como pueden ser:

• Depth
• Offset
• Nocase
• Distance
• Within

Seguir leyendo el resto »

Vamos a analizar una captura correspondiente al envio de correo a través del protocolo SMTP, lo que sería el diálogo entre cliente y servidor SMTP. Diálogo constituido por un conjunto de comandos en formato texto ASCII.

Seguir leyendo el resto »

Una de las ventajas de las tecnologías de virtualización es que podemos crear un host virtual para nuestro propio entorno de pruebas. O mejor aún, crear una pequeña red virtual para analizar el comportamiento del herramientas como Snort, Wireshark, Windump, trabajar con sniffers y su detección, etc con aplicaciones maliciosas, virus o cualquier tipo de de tráfico de paquetes que pudiera comprometer un entorno físico o productivo pero no uno virtual de pruebas.

Herramientas de virtualización hay varias, aquí nos centraremos en VMware Server, VMware Converter y VMware Player, por ser las tres libres.

Seguir leyendo el resto »