Cubrimos la configuración de snort como una solución de código abierto IDS/IPS. Snort funciona como rastreador, registrador de paquetes e IPS/IDS. Esto fue parte de TryHackMe Snort.
Sistema de detección de intrusos (identificación)
identificación es una solución de monitoreo pasivo para detectar posibles actividades/patrones maliciosos, incidentes anormales e infracciones de políticas. Se encarga de generar alertas por cada evento sospechoso.
Hay dos tipos principales de identificación sistemas;
- Sistema de detección de intrusiones en la red (NIDS) – NIDS monitorea el flujo de tráfico desde varias áreas de la red. El objetivo es investigar el tráfico en toda la subred. Si se identifica una firma, se crea una alerta.
- Sistema de detección de intrusiones basado en host (esconde) – esconde monitorea el flujo de tráfico desde un único dispositivo de punto final. El objetivo es investigar el tráfico en un dispositivo en particular. Si se identifica una firma, se crea una alerta.
IPS es una solución de protección activa para prevenir posibles actividades/patrones maliciosos, incidentes anormales y violaciones de políticas. Es responsable de detener/prevenir/terminar el evento sospechoso tan pronto como se realiza la detección.
Hay cuatro tipos principales de IPS sistemas;
- Sistema de prevención de intrusiones en la red (PNI) – PNI monitorea el flujo de tráfico desde varias áreas de la red. El objetivo es proteger el tráfico en toda la subred. Si se identifica una firma, la conexión se termina.
- Sistema de prevención de intrusiones basado en el comportamiento (análisis del comportamiento de la red – NBA) – Los sistemas basados en el comportamiento monitorean el flujo de tráfico desde varias áreas de la red. El objetivo es proteger el tráfico en toda la subred. Si se identifica una firma, la conexión se termina.
BUFIDO
SNORT es un sistema de prevención y detección de intrusiones en la red (NIDS/NIPS) de código abierto y basado en reglas. Fue desarrollado y mantenido por Martin Roesch, contribuyentes de código abierto y el equipo de Cisco Talos.
Capacidades de Snort;
- Análisis de tráfico en vivo
- Detección de ataques y sondas
- Registro de paquetes
- Análisis de protocolo
- Alertas en tiempo real
- Módulos y complementos
- Preprocesadores
- ¡Soporte multiplataforma! (linux y ventanas)
Snort tiene tres modelos de uso principales;
- Modo Sniffer: lee paquetes IP y los solicita en la aplicación de consola.
- Modo de registro de paquetes: registra todos los paquetes IP (entrantes y salientes) que visitan la red.
- NIDS (Sistema de Detección de Intrusiones en la Red) y PNI Modos (Sistema de prevención de intrusiones en la red): registra/elimina los paquetes que se consideran maliciosos de acuerdo con las reglas definidas por el usuario.
Respuestas de la habitación
¿Qué modo de snort puede ayudarte a detectar amenazas en una red local?
¿Qué modo de snort puede ayudarle a detectar amenazas en una máquina local?
¿Qué modo de snort puede ayudarte a detener las amenazas en una red local?
¿Qué modo de snort funciona de forma similar? PNI ¿modo?
Según la descripción oficial del bufido, ¿qué tipo de PNI ¿Lo es?
NBA El período de entrenamiento también se conoce como...
Ejecute la instancia de Snort y verifique el número de compilación.
Pruebe la instancia actual con "/etc/snort/snort.conf”archivo y verifique cuántas reglas están cargadas con la compilación actual.
Pruebe la instancia actual con "/etc/snort/snortv2.conf”archivo y verifique cuántas reglas están cargadas con la compilación actual.
Investigue el tráfico con el archivo de configuración predeterminado en modo ASCII.
sudo snort -dev -K ASCII -l.
sudo ./traffic-generator.sh
Utilice snort.log.1640048004
Lea el archivo snort.log con Snort; ¿Cuál es la ID de IP del décimo paquete?
bufido -r bufido.log.1640048004 -n 10
Leer el "snort.log.1640048004″ presentar con Snort; ¿Cuál es el referente del cuarto paquete?
Leer el "snort.log.1640048004″ presentar con Snort; ¿Cuál es el número de reconocimiento del octavo paquete?
Leer el "snort.log.1640048004″ presentar con Snort; cual es el numero del “Puerto TCP 80” paquetes?
Investigue el tráfico con el archivo de configuración predeterminado.
sudo snort -c /etc/snort/snort.conf -A completo -l.
sudo ./traffic-generator.sh
Investigar el mx-1.pcap archivo con el archivo de configuración predeterminado.
sudo snort -c /etc/snort/snort.conf -A completo -l. -r mx-1.pcap
Sigue leyendo el resultado. ¿Cuántos segmentos TCP hay en cola?
Sigue leyendo el resultado. ¿Cuántos “encabezados de respuesta HTTP” se extrajeron?
Investigar el archivo mx-1.pcap con el segundo archivo de configuración.
sudo snort -c /etc/snort/snortv2.conf -A completo -l. -r mx-1.pcap
Investigar el mx-2.pcap archivo con el archivo de configuración predeterminado.
sudo snort -c /etc/snort/snort.conf -A completo -l. -r mx-2.pcap
Sigue leyendo el resultado. ¿Cuál es el número de los detectados? tcp paquetes?
Investigue los archivos mx-2.pcap y mx-3.pcap con el archivo de configuración predeterminado.
sudo snort -c /etc/snort/snort.conf -A completo -l. --pcap-list="mx-2.pcap mx-3.pcap"
Usar “tarea9.pcap”.
Escribe una regla para filtrar ID de IP “35369” y ejecútelo con el archivo pcap proporcionado. ¿Cuál es el nombre de solicitud del paquete detectado? snort -c local.rules -A completo -l . -r tarea9.pcap
Cree una regla para filtrar paquetes con el indicador Syn y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?
Borre los archivos de registro y alarma anteriores y desactive/comente la regla anterior.
Escriba una regla para filtrar paquetes con indicadores Push-Ack y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?
Borre los archivos de registro y alarma anteriores y desactive/comente la regla anterior.
Cree una regla para filtrar paquetes con la misma IP de origen y destino y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?
Ejemplo de caso: un analista modificó con éxito una regla existente. ¿Qué opción de regla debe cambiar el analista después de la implementación?
Tutorial en vídeo