Archivo

Posts Tagged ‘snort preprocessor sfportscan’

Usando Preprocessors en Snort – Parte IV – Preprocessor FTP/TELNET

julio 13, 2011 Deja un comentario

Se trata de un decoder útil para protocolos FTP y Telnet, permitiendo a Snort inspeccionar flujos de datos de ambos protocolos de una forma unificada desde un solo preprocessor (ftp_telnet). Este preprocessor identifica comandos FTP y sus respuestas así como secuencias de escape de Telnet y normalización de campos, del mismo modo que el proprocessor HTTP Inspect, FTP/Telnet inspecciona tanto las peticiones enviadas por un cliente como la respuesta del servidor. Del mismo modo que otros preprocessors definidos en Snort, FTP/Telnet funciona en las bases de procesamiento sin estado (stateless), lo que significa que solamente inspecciona la información contenida en cada uno de los paquetes enviados y recibidos sin almacenar la secuencia completa en buffers y/o otros mecanismos similares, así como también funciona en las bases de procesamiento con estado (stateful) donde cada paquete es reconstruido para formar parte de los que se han enviado anteriormente con el fin de “remotar” los datos completos de los paquetes enviados de forma correcta. El procesamiento con estado es el valor por defecto en Snort.

Leer más…

Usando Preprocessors en Snort – Parte III – Preprocessor HTTP Inspect para detectar ataques sobre arquitecturas web

julio 11, 2011 Deja un comentario

Se trata de un modulo que proporciona la capacidad de examinar el trafico HTTP, incluyendo URL’s, cookies, parámetros por GET/POST, character encodings, etc. Tiene la capacidad de detectar ataques realizados con herramientas como Nikto y Nessus, por lo que sin lugar a dudas, se trata de un modulo bastante útil en el campo de la seguridad de aplicaciones y servidores web.

Para habilitar este preprocessor se tienen dos módulos, uno para configuración global y otro para la configuración especifica de cada servidor web en el segmento de red, cada uno de esto módulos cuenta con determinadas opciones que permiten controlar el comportamiento de este preprocessor, a continuación se listan las opciones para cada uno.

Leer más…

Usando Preprocessors en Snort – Parte II – sfPortScan para detectar ataques de reconocimiento

julio 8, 2011 Deja un comentario

Cualquier tipo de ataque que se lleve a cabo contra un sistema normalmente siempre esta precedido por un ataque previo de reconocimiento del objetivo para recolectar la mayor cantidad de información posible (proceso conocido como fingerprint), para esta tarea existen diversos tipos de herramientas como Nmap, Hping, entre muchas otras. Con esto en mente Snort tiene un modulo preprocessor que es capaz de detectar este tipo de ataques para tomar medidas al respecto llamado sfPortScan.

El modo de funcionamiento de este modulo consiste en detectar las respuestas negativas (peticiones a puertos cerrados) en un periodo de tiempo determinado, dado que las respuestas negativas en peticiones legitimas son escasas y mucho mas aun, un número elevado de estas respuestas negativas, esto frecuentemente suele indicar que se esta realizando un ataque activo de reconocimiento.

Leer más…

Usando Preprocessors en Snort – Parte I – Preprocessors Frag3 y Stream5

julio 6, 2011 Deja un comentario

Configuración de Snort para Manipulación de Paquetes – Preprocessors

Una de las características mas interesantes de Snort y de casi cualquier IDS en la capacidad de implementar Preprocessors, estos son componentes del IDS que realizan operaciones de análisis de paquetes entrantes y salientes justo antes de que el motor de detección se ejecute y justo después de que el paquete ha sido recibido y decodificado.

Los preprocessors son un mecanismo ampliamente utilizado en Snort para restringir el uso de técnicas de evasión de IDS empleadas por atacantes con el fin de saltar sobre las reglas del motor de detección, por este motivo, si se desea fortalecer un sistema de detección de intrusos, esta opción es indispensable y tiene que ser correctamente configurada.

Leer más…

Conceptos Básicos y Configuración de Snort – Parte II

julio 4, 2011 Deja un comentario

Continuando con los conceptos básicos y configuración de Snort iniciados en la entrada anterior, se continua indicando las opciones de configuración y características mas interesantes de Snort.

Lectura de Ficheros de Paquetes (PCAP)

Con Snort es posible leer los registros de Log y paquetes generados de una ejecución anterior en lugar de ejecutar Snort utilizando una interfaz de red, de esta forma es posible analizar los paquetes como si estos vinieran directamente de la red. Para este fin existen una serie de opciones que pueden ser utilizadas como argumentos en linea de comandos:

Leer más…

Conceptos Básicos y Configuración de Snort – Parte I

julio 1, 2011 1 comentario

En la entrada anterior se ha visto como instalar y configurar las características básicas de Snort, en esta entrada, se detallarán algunos conceptos importantes que un profesional en la seguridad informática debe dominar correctamente para utilizar este sistema.

En primera instancia, puede decirse que Snort es un sistema que permite un alto nivel de personalización, optimización y configuración para manipular los paquetes que viajan en una maquina e incluso, aquellos que viajan por el segmento de red, en este orden de ideas, se definen 3 modos básicos de ejecución de Snort, estos son:

Leer más…

Instalación y Configuración básica de Snort IDS con BASE (Basic Analysis and Security Engine)

junio 30, 2011 21 comentarios

Snort es un potente IDS/IPS (Intrusion Detection System/Intrusion Prevention System) que se ha convertido en un estándar en el campo de la seguridad de sistemas informáticos. Es una herramienta que utiliza una filosofía muy similar a IPTables, ya que utiliza reglas sobre los paquetes que viajan en una red, sin embargo, dependiendo del modo de ejecución va un poco mas allá, permitiendo tomar decisiones sobre la información intercambiada y la detección de posibles ataques sobre peticiones que aunque aparentemente son legitimas, pueden encajar en algún patrón de ataque.

Antes de profundizar sobre los modos y configuración de Snort es necesario conocer el procedimiento de instalación, que en algunos casos no resulta tan sencillo como se espera, de hecho es un poco complejo principalmente por la cantidad de paquetes que se deben instalar, sin embargo se intenta indicar las pautas generales para conseguir instalar Snort en plataformas Debian (Lenny, Squeeze).

Leer más…

A %d blogueros les gusta esto: