Archivo

Archive for julio 20, 2011

Utilizando RuleSets en Snort para Detección de Amenazas y Generación de Alarmas – Parte I

julio 20, 2011 2 comentarios

Una de las características mas importantes para el correcto funcionamiento de Snort, es sin lugar a dudas, las reglas de detección y alarmas, Snort cuenta con un pequeño lenguaje de definición de reglas que sigue una sintaxis definida para diseñar reglas robustas y útiles para un pentester y/o analista en seguridad informática. Las reglas en Snort se separan en dos secciones, en primera instancia esta el encabezado de la regla y luego se definen las opciones de la regla, el encabezado de la regla contiene información relacionada a la acción que se debe tomar (por ejemplo la acción de generar una alerta) al igual que direcciones IP, puertos y mascaras de red del origen y destino del paquete, por otro lado la sección de opciones de la regla determinan diversos filtros que le dan dinamismo a la regla, de esta forma solamente se aplicará cuando dichas opciones o filtros se cumplan, por lo tanto es de vital importancia diseñar correctamente esta sección de la regla para evitar falsos positivos.

Leer más…

A %d blogueros les gusta esto: