Archivo

Posts Tagged ‘snort pcap’

Utilizando Reglas Libres de Snort para Detección de Amenazas y Generación de Alarmas

julio 25, 2011 Deja un comentario

Conociendo como es la estructura de las reglas en Snort, el siguiente paso lógico seria, escribir reglas para intentar proteger un sistema o segmento de red, si se desea se puede solicitar las reglas oficiales de Snort conocidas como VRT (Vulnerability Research Team) http://www.snort.org/snort-rules/ que definen un conjunto de reglas muy robusto y estable que permite tener un entorno empresarial seguro, sin embargo, cuestan dinero… Si se trata de implantar Snort en una organización, no cabe duda que es una excelente elección, sin embargo, para fines educativos y para dominar correctamente este IDS lo mas recomendable es optar por rule-sets libres, es aquí donde entra el juego de reglas Bleeding Edge para Snort, como se ha dicho son libres y tiene una característica que desde mi perspectiva resulta muy interesante y es la separación lógica de cada uno de los ficheros de reglas, es decir, existe un fichero de reglas para visitas a sitios indebidos, maleware, virus, ataques a servidores web, exploits, conexiones p2p… todo un compendio de reglas para proteger el entorno de agentes maliciosos y para limitar, obviamente, las libertades de los usuarios internos, sin embargo en próximas entradas se verán técnicas de evasión de IDS Firewall y otras “fortalezas” de los mecanismos de seguridad modernos. Por lo pronto, indicare los pasos para instalar y conocer a fondo las reglas Bleeding Edge de Snort, ademas de como ponerlas a funcionar adecuadamente en Snort v 2.9.x

Leer más…

Utilizando RuleSets en Snort para Detección de Amenazas y Generación de Alarmas – Parte II

julio 22, 2011 1 comentario

En la entrada anterior se ha indicado la estructura y las principales opciones con las que es posible declarar una regla en Snort, en esta ocasión intentare indicar opciones avanzadas para la detección de payloads en Snort, estas opciones se incluyen en la estructura de cualquier regla declarada en Snort, sin embargo permiten profundizar y filtrar aun más en los paquetes capturados por Snort en modo IDS/NIDS.

A continuación se listan las principales opciones diseñadas específicamente para filtrar ataques llevados a cabo desde el exterior del segmento de red o desde el interior.

Leer más…

Utilizando RuleSets en Snort para Detección de Amenazas y Generación de Alarmas – Parte I

julio 20, 2011 2 comentarios

Una de las características mas importantes para el correcto funcionamiento de Snort, es sin lugar a dudas, las reglas de detección y alarmas, Snort cuenta con un pequeño lenguaje de definición de reglas que sigue una sintaxis definida para diseñar reglas robustas y útiles para un pentester y/o analista en seguridad informática. Las reglas en Snort se separan en dos secciones, en primera instancia esta el encabezado de la regla y luego se definen las opciones de la regla, el encabezado de la regla contiene información relacionada a la acción que se debe tomar (por ejemplo la acción de generar una alerta) al igual que direcciones IP, puertos y mascaras de red del origen y destino del paquete, por otro lado la sección de opciones de la regla determinan diversos filtros que le dan dinamismo a la regla, de esta forma solamente se aplicará cuando dichas opciones o filtros se cumplan, por lo tanto es de vital importancia diseñar correctamente esta sección de la regla para evitar falsos positivos.

Leer más…

Usando Preprocessors en Snort – Parte VI – Preprocessor SSL/TLS y ARP Spoof

julio 18, 2011 Deja un comentario

PREPROCESSOR SSLPP

Este modulo decodifica el trafico SSL y TLS, solamente sobre una conexión plenamente establecida, es decir, por defecto este preprocessor intentará determinar si una conexión dada ha sido completamente establecida con un “Handshake”, una vez inspecciona que el trafico se encuentra cifrado, no inspecciona los datos sobre la conexión establecida. Para realizar esto, el preprocessor inspecciona el trafico en ambos lados (cliente y servidor) si uno de los dos lados responde con indicios de que algo no ha ido bien en el establecimiento del handshake la sesión no es marcada como encriptada, esto le permitirá a Snort verificar dos cosas, en primer lugar que el ultimo paquete handshake enviado por el cliente no ha sido creado para evadir las reglas de Snort y por otro lado que el trafico ha sido legítimamente cifrado.

Leer más…

Usando Preprocessors en Snort – Parte V – Preprocessor SSH y DNS

julio 15, 2011 Deja un comentario

SSH PREPROCESSOR

Se trata de un preprocessor que identifica una serie de exploits ejecutados contra un servidor SSH/OPENSSH, de esta forma se puede detectar cuando esta ocurriendo un ataque y las medidas que se deben tomar para afrontarlo. Este preproprocessor detecta algunos de los exploits mas críticos sobre protocolo SSH, tales como Challenge-Response Buffer Overflow, CRC 32, Secure CRT, y Protocol Mismatch exploit. , Para esto Snort cuenta el número de bytes transmitidos al servidor, de esta forma puede detectar un payload malicioso por su tamaño, ya que algunos de estos exploits basan su funcionamiento en exceder los limites de determinadas funciones del servidor SSH (antes y después del intercambio de clave), por otro lado algunos de estos afectan solamente a determinadas versiones de SSH como por ejemplo Challenge-Response Buffer Overflow solamente afecta a SSHv2 y CRC 32 a SSHv1. De este modo la cadena correspondiente a la versión de SSH es utilizada para distinguir los ataques.

Leer más…

Usando Preprocessors en Snort – Parte IV – Preprocessor FTP/TELNET

julio 13, 2011 Deja un comentario

Se trata de un decoder útil para protocolos FTP y Telnet, permitiendo a Snort inspeccionar flujos de datos de ambos protocolos de una forma unificada desde un solo preprocessor (ftp_telnet). Este preprocessor identifica comandos FTP y sus respuestas así como secuencias de escape de Telnet y normalización de campos, del mismo modo que el proprocessor HTTP Inspect, FTP/Telnet inspecciona tanto las peticiones enviadas por un cliente como la respuesta del servidor. Del mismo modo que otros preprocessors definidos en Snort, FTP/Telnet funciona en las bases de procesamiento sin estado (stateless), lo que significa que solamente inspecciona la información contenida en cada uno de los paquetes enviados y recibidos sin almacenar la secuencia completa en buffers y/o otros mecanismos similares, así como también funciona en las bases de procesamiento con estado (stateful) donde cada paquete es reconstruido para formar parte de los que se han enviado anteriormente con el fin de “remotar” los datos completos de los paquetes enviados de forma correcta. El procesamiento con estado es el valor por defecto en Snort.

Leer más…

Usando Preprocessors en Snort – Parte III – Preprocessor HTTP Inspect para detectar ataques sobre arquitecturas web

julio 11, 2011 Deja un comentario

Se trata de un modulo que proporciona la capacidad de examinar el trafico HTTP, incluyendo URL’s, cookies, parámetros por GET/POST, character encodings, etc. Tiene la capacidad de detectar ataques realizados con herramientas como Nikto y Nessus, por lo que sin lugar a dudas, se trata de un modulo bastante útil en el campo de la seguridad de aplicaciones y servidores web.

Para habilitar este preprocessor se tienen dos módulos, uno para configuración global y otro para la configuración especifica de cada servidor web en el segmento de red, cada uno de esto módulos cuenta con determinadas opciones que permiten controlar el comportamiento de este preprocessor, a continuación se listan las opciones para cada uno.

Leer más…

A %d blogueros les gusta esto: