Hasta ahora hemos visto como configurar Snort, crear reglas, crear reglas I , actualizar sensores remotos, actualizar reglas, etc. Damos un paso más en este artículo para estudiar las diversas herramientas de análisis de los logs de Snort. Herramientas que nos facilitarán un estudio más completo, estadístico y comprensible de las alertas almacenadas en alert.ids. La primera herramienta que vamos a estudiar es Snortalog.

Snortalog es un script de perl que tras analizar el archivo alert.ids creará un informe personalizado, con gráficos y dividido en secciones correspondientes a los ataques por hora, por métodos, IP origen, protocolos, puerto de destino, etc. Tambíen incluye estadísticas y gráficos con codigo de colores según la importancia de ataque sufrido.

Los pasos a seguir lo resumimos en:

• Instalación de ActivePerl
• Descarga e instalación de Snortalog
• Instalación de las librerías necesarias
• Ejecución de Snortalog

Seguir leyendo el resto »

Ya hemos visto en el artículo dedicado a IDS Policy Manager aquí y aquí como, entre otras cosas, podemos actualizar las reglas de varios sensores Snort remotos. Ahora vamos a algo más simple. Vamos a actualizar las reglas Snort de una forma más sencilla a través de Oinkmaster, un script de perl que nos facilita dicha operación. Al ser un sript de perl tenemos varias opciones para ejecutar Oinkmaster en un sistema Windows. Por su facilidad usaremos ActivePerl.

Seguir leyendo el resto »

Ya vimos en el primer artículo dedicado a IDS Policy Manager la instalación y configuración de políticas y sensores Snort de forma local. En este artículo avanzamos un poco más. Vamos a instalar y configurar un sensor remoto. De esta manera tenemos en un host todas las políticas de nuestros sensores remotos en Local que administraremos, modificaremos y actualizaremos. Una vez realizado esto se enviaran las configuraciones a los sensores remotos a tavés de Internet utilizando el protocolo FTP.

Actualizado 06-03-09 (14:24.)

Seguir leyendo el resto »

IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.

IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.

En este artículo aprenderemos a configurar los sensores, crear una política y aplicarla.

Seguir leyendo el resto »

En este artículo vamos a ver una funcionalidad de Snort. Se trata de usar la opción de envío de alertas a un syslog remoto.

Este artículo es una actualización de otro que publiqué en otros medios.

Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.

Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon (8.3.7), aunque puede ser otro cualquiera.

Una vez instalado el servidor syslog, que podemos hacerlo como aplicación o como servicio, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.

Seguir leyendo el resto »

Seguimos avanzando en el estudio y creación de las reglas Snort que iniciamos en el capítulo dedicado a las reglas.

Hemos visto que las reglas snort se dividen en cabecera y opciones. Vamos a estudiar a continuación las opciones. Opciones que en las que establecemos los mensajes, decisiones a tomar por la regla o los valores del los campos que debe tener el paquete que cumpla la condición de la cabecera.

lo vemos en el siguiente ejemplo:

alert icmp 192.168.1.10 any -> $RED_EXTERNA any (msg:"lanzando un ping";icode:0;itype:8;sid:00001;classtype:reglas_personales;rev:0;)

Las opciones están entre paréntesis. Cada opción esta separada de la siguiente mediante un ;.

Seguir leyendo el resto »

Ya vimos en el Capítulo I de Snort el funcionamiento de este IDS y su implementación en nuestra red. Ahora vamos a aprender a crear nuestras propias reglas.

Introducción.

El lenguaje usado por Snort es flexible y potente, basado en una serie de normas que serán las que nos sirvan de guía para la escritura de las reglas.

Dentro de estas normas tenemos:

• la descripción de cada regla
• cabecera
• opciones
• uso de preprocesadores

Las reglas Snort (Snort Rules) deben ser escritas en una sola línea, de lo contrario habrá que usar el carácter de escape (\):

alert tcp any 110 -> (content: "filename=\"TOMOFONICA.TXT.vbs\"";\
nocase; msg: "Virus tomofonica";)

La reglas Snort las podemos dividir en dos secciones lógicas, a saber: cabecera de la regla y opciones:

• La cabecera contiene la acción de la regla en sí, protocolo, IPs, máscaras de red, puertos origen y destino y destino del paquete o dirección de la operación.
• La sección opciones contiene los mensajes y la información necesaria para la decisión a tomar por parte de la alerta en forma de opciones.

Resumiendo lo visto hasta ahora, las reglas Snort las dividiremos de la siguiente manera:

CABECERA

• Acción
• Protocolos involucrados
• Direcciones IP
• Números de puerto
• Dirección de la operación

Seguir leyendo el resto »

Este artículo, corregido y aumentado, está basado en otro publicado por mi en otros blogs y medios. Trataremos de forma introductoria los IDS o Sistemas de Detección de Intrusos y de forma más detallada en este y otros artículos el IDS Snort.

Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático en busca de intentos de comprometer la seguridad de dicho sistema....

Seguir leyendo el resto »