Cubrimos la configuración de snort como una solución de código abierto IDS/IPS. Snort funciona como rastreador, registrador de paquetes e IPS/IDS. Esto fue parte de TryHackMe Snort.

Obtener notas de resoplido

Sistema de detección de intrusos (identificación)

identificación es una solución de monitoreo pasivo para detectar posibles actividades/patrones maliciosos, incidentes anormales e infracciones de políticas. Se encarga de generar alertas por cada evento sospechoso.

Hay dos tipos principales de identificación sistemas;

  • Sistema de detección de intrusiones en la red (NIDS) – NIDS monitorea el flujo de tráfico desde varias áreas de la red. El objetivo es investigar el tráfico en toda la subred. Si se identifica una firma, se crea una alerta.
  • Sistema de detección de intrusiones basado en host (esconde) – esconde monitorea el flujo de tráfico desde un único dispositivo de punto final. El objetivo es investigar el tráfico en un dispositivo en particular. Si se identifica una firma, se crea una alerta.
Sistema de Prevención de Intrusión (IPS)

IPS es una solución de protección activa para prevenir posibles actividades/patrones maliciosos, incidentes anormales y violaciones de políticas. Es responsable de detener/prevenir/terminar el evento sospechoso tan pronto como se realiza la detección.

Hay cuatro tipos principales de IPS sistemas;

  • Sistema de prevención de intrusiones en la red (PNI) – PNI monitorea el flujo de tráfico desde varias áreas de la red. El objetivo es proteger el tráfico en toda la subred. Si se identifica una firma, la conexión se termina.
  • Sistema de prevención de intrusiones basado en el comportamiento (análisis del comportamiento de la red – NBA) – Los sistemas basados en el comportamiento monitorean el flujo de tráfico desde varias áreas de la red. El objetivo es proteger el tráfico en toda la subred. Si se identifica una firma, la conexión se termina.

BUFIDO 

SNORT es un sistema de prevención y detección de intrusiones en la red (NIDS/NIPS) de código abierto y basado en reglas. Fue desarrollado y mantenido por Martin Roesch, contribuyentes de código abierto y el equipo de Cisco Talos.

Capacidades de Snort;

  • Análisis de tráfico en vivo
  • Detección de ataques y sondas
  • Registro de paquetes
  • Análisis de protocolo
  • Alertas en tiempo real
  • Módulos y complementos
  • Preprocesadores
  • ¡Soporte multiplataforma! (linux y ventanas)

Snort tiene tres modelos de uso principales;

  • Modo Sniffer: lee paquetes IP y los solicita en la aplicación de consola.
  • Modo de registro de paquetes: registra todos los paquetes IP (entrantes y salientes) que visitan la red.
  • NIDS (Sistema de Detección de Intrusiones en la Red) y PNI Modos (Sistema de prevención de intrusiones en la red): registra/elimina los paquetes que se consideran maliciosos de acuerdo con las reglas definidas por el usuario.

Respuestas de la habitación

¿Qué modo de snort puede ayudarle a detener las amenazas en una máquina local?

¿Qué modo de snort puede ayudarte a detectar amenazas en una red local?

¿Qué modo de snort puede ayudarle a detectar amenazas en una máquina local?

¿Qué modo de snort puede ayudarte a detener las amenazas en una red local?

¿Qué modo de snort funciona de forma similar? PNI ¿modo?

Según la descripción oficial del bufido, ¿qué tipo de PNI ¿Lo es?

NBA El período de entrenamiento también se conoce como...

Ejecute la instancia de Snort y verifique el número de compilación.

Pruebe la instancia actual con "/etc/snort/snort.conf”archivo y verifique cuántas reglas están cargadas con la compilación actual.

Pruebe la instancia actual con "/etc/snort/snortv2.conf”archivo y verifique cuántas reglas están cargadas con la compilación actual.

Investigue el tráfico con el archivo de configuración predeterminado en modo ASCII.

 

sudo snort -dev -K ASCII -l.

Ejecute el script del generador de tráfico y elija "Ejercicio TAREA-6". Espere hasta que termine el tráfico y luego detenga la instancia de Snort. Ahora analice el resumen del resultado y responda la pregunta.

 

sudo ./traffic-generator.sh

Ahora debería tener los registros en el directorio actual. Navegue a la carpeta "145.254.160.237". ¿Cuál es el puerto de origen utilizado para conectar el puerto 53?

Utilice snort.log.1640048004

Lea el archivo snort.log con Snort; ¿Cuál es la ID de IP del décimo paquete?

bufido -r bufido.log.1640048004 -n 10

Leer el "snort.log.1640048004″ presentar con Snort; ¿Cuál es el referente del cuarto paquete?

Leer el "snort.log.1640048004″ presentar con Snort; ¿Cuál es el número de reconocimiento del octavo paquete?

Leer el "snort.log.1640048004″ presentar con Snort; cual es el numero del “Puerto TCP 80” paquetes?

Investigue el tráfico con el archivo de configuración predeterminado.

 

sudo snort -c /etc/snort/snort.conf -A completo -l.

Ejecute el script del generador de tráfico y elija “Ejercicio TAREA-7”. Espere hasta que el tráfico se detenga y luego detenga la instancia de Snort. Ahora analice el resumen del resultado y responda la pregunta.

 

sudo ./traffic-generator.sh

¿Cuál es el número de los detectados? HTTP OBTENER métodos?

Investigar el mx-1.pcap archivo con el archivo de configuración predeterminado.

 

sudo snort -c /etc/snort/snort.conf -A completo -l. -r mx-1.pcap

¿Cuál es el número de alertas generadas?

Sigue leyendo el resultado. ¿Cuántos segmentos TCP hay en cola?

Sigue leyendo el resultado. ¿Cuántos “encabezados de respuesta HTTP” se extrajeron?

Investigar el archivo mx-1.pcap con el segundo archivo de configuración.

 

sudo snort -c /etc/snort/snortv2.conf -A completo -l. -r mx-1.pcap

¿Cuál es el número de alertas generadas?

Investigar el mx-2.pcap archivo con el archivo de configuración predeterminado.

 

sudo snort -c /etc/snort/snort.conf -A completo -l. -r mx-2.pcap

¿Cuál es el número de alertas generadas?

Sigue leyendo el resultado. ¿Cuál es el número de los detectados? tcp paquetes?

Investigue los archivos mx-2.pcap y mx-3.pcap con el archivo de configuración predeterminado.

 

sudo snort -c /etc/snort/snort.conf -A completo -l. --pcap-list="mx-2.pcap mx-3.pcap"

¿Cuál es el número de alertas generadas?

Usar tarea9.pcap”.

Escribe una regla para filtrar ID de IP “35369” y ejecútelo con el archivo pcap proporcionado. ¿Cuál es el nombre de solicitud del paquete detectado? snort -c local.rules -A completo -l . -r tarea9.pcap

Cree una regla para filtrar paquetes con el indicador Syn y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?

Borre los archivos de registro y alarma anteriores y desactive/comente la regla anterior.

Escriba una regla para filtrar paquetes con indicadores Push-Ack y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?

Borre los archivos de registro y alarma anteriores y desactive/comente la regla anterior.

Cree una regla para filtrar paquetes con la misma IP de origen y destino y ejecútela en el archivo pcap proporcionado. ¿Cuál es la cantidad de paquetes detectados?

Ejemplo de caso: un analista modificó con éxito una regla existente. ¿Qué opción de regla debe cambiar el analista después de la implementación?

Tutorial en vídeo

, , , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos