REGLAS SNORT DENTRO DE LAS EMPRESAS

¿Que es Snort?

Para poder detectar intrusos en nuestras redes se usan sistemas IDS (Intrusion Detection System).

Snort es un IDS que es capaz de analizar el tráfico de nuestra red en tiempo real y reaccionar a patrones detectados.

Esto nos permite detectar conexiones hacia el exterior que no deberían producirse, ataques desde el exterior de la red a nuestra DMZ o incluso detectar intentos de ataques de buffer overflow.

Cabecera

Acción

Protocolo

ejemplo: alert tcp $HOME_NET 21 -> any any (msg: "ERROR AUTENTICACION FTP"; content: " Login or password incorrect"; sid: 1000003; rev: 1,)

- Acción: Alert

Protocolo: TCP

Origen: $HOME_NET

Puerto Origen: 21

Destino: Cualquiera

Puerto Destino: Cualquiera

Dirección: solamente hacia el destino

IP origen

se pueden usar tanto como origen como destino una red o una IP. además de poder usar las variables definidas en el archivo de configuración.

Puerto origen

se puede usar cualquier puerto.

Dirección

->: la regla solo actúa en una dirección origen hacia destino.

<>: la regla actúa en ambas direcciones

IP Destino

any: significa que es valido cualquier IP o red.

Puerto Destino

any: significa que es válido cualquier puerto

Especificaciones

mensaje de la alerta: Error autenticación FTP

ejemplo 2: objetivo: creacion de una regla para detectar trafico a servidores de IRC.

Alcance: detectar el trafico desde nuestra red hacia el exterior.

Acción: crear una alerta.

búsqueda: buscar el dominio buscado en algún paquete.

alert tcp $ HOME_NET any -> $EXTERNAL_NET 6666: 7000 (msg: "conexión a servidor IRC"; content: "JOIN"; sid: 1000002)

contenido a buscar en el paquete de red: " Login or password incorrect"

identificación de la regla: ID 1000003 y Revisión 1