Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Snort++ aka Snort 3.0 - Network intrusion prevention and detection system (IDS/IPS)




Snort es un detector de intrusos basado en red  Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.



Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Algunas de las características deseables para un IDS son:

  • Deben estar continuamente en ejecución con un mínimo de supervisión.
  • Se deben recuperar de las posibles caídas o problemas con la red.
  • Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
  • Debe utilizar los mínimos recursos posibles.
  • Debe estar configurado acorde con la política de seguridad seguida por la organización.
  • Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.


Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
    Project = Snort++
    Binary = snort
    Version = 3.0.0-a1

Novedades


  •      Diseño fácil de usar 
  •          Queríamos que sea lo más fácil posible para que la gente aprenda y ejecutar Snort - eso significa que la memoria no más de configuración, los puertos, los argumentos, etc. 
  •          Construido en Documentación 
  •          Built-in de configuración 
  •          Error y apoyo error Multi 
  •          Verificación de la configuración en el arranque (no más tener que ejecutar "-T" para el modo de prueba) 
  •      Más sencillo lenguaje de reglas 
  •          Estamos haciendo que sea más sencillo para escribir reglas.  
  •          tampones Sticky 
  •          Tampones HTTP personalizado 
  •          Auto-Detección de todos los protocolos 
  •      De línea de comandos Shell 
  •          Seguro a localhost 
  •          Permite a alguien para volver a cargar una configuración 
  •          Le permite pausar y reanudar la detección 
  •      Multiproceso y de varios núcleos 
  •          Todo el nuevo diseño para multithreading, manteniendo una única configuración persistente para muchos hilos.

Descargas

Hay dos versiones disponibles, uno para autotools y el otro para cmake:
    snort-3.0.0-a1-130-auto.tar.gz
    snort-3.0.0-a1-130-cmake.tar.gz

Instalando Snort


    export my_path=/path/to/snorty
    tar zxf snort-tarball
    cd snort-3.0.0*

Then do one of the following:
  • con autotools
    ./configure --prefix=$my_path
    make -j 8 install
  • Con cmake y make, run configure_cmake.sh.
    ./configure_cmake.sh --prefix=$my_path
    cd build
    make -j 8 install

Notas:
  • If you can do src/snort -V you built successfully.
  • If you are familiar with cmake, you can run cmake/ccmake instead of configure_cmake.sh.
  • cmake --help will list any available generators, such as Xcode. Feel free to use one, however help with those will be provided in a later post.

SNORT en funcionamiento

Entorno:

    export LUA_PATH=$my_path/include/snort/lua/\?.lua\;\;
    export SNORT_LUA_PATH=$my_path/etc/snort

  • Snort++ proporciona mucha ayuda desde la línea de comandos. Ejemplos:
    $my_path/bin/snort --help
    $my_path/bin/snort --help-module suppress
    $my_path/bin/snort --help-config | grep thread
  • Examinnar un dump de pcap:
    $my_path/bin/snort -r pcap
    $my_path/bin/snort -K text -d -e -q -r pcap
  • Verificar la configuración, con o sin reglas:
    $my_path/bin/snort -c $my_path/etc/snort/snort.lua
    $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules
  • Run IDS mode. In the following, replace a.pcap with your favorite. pcaps/ is a directory with one or more *.pcap files:
    $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
        -r a.pcap -A alert_test -n 100000
  • Let's suppress 1:2123. We could edit the conf or just do this:
    $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
        -r a.pcap -A alert_test -n 100000 --lua "suppress = { { gid = 1, sid = 2123 } }"
  • Go whole hog on a directory with multiple packet threads:
    $my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
        --pcap-filter \*.pcap --pcap-dir pcaps/ -A alert_fast --max-packet-threads 8

Documentación


    $my_path/share/doc/snort/snort_manual.pdf
    $my_path/share/doc/snort/snort_manual.html
    $my_path/share/doc/snort/snort_manual/index.html

It does not yet have much on the how and why, but it does have all the currently available configuration, etc. Some key changes to rules:
  • you must use comma separated content sub options like this: content:"foo", nocase;
  • buffer selectors must appear before the content and remain in effect until changed
  • pcre buffer selectors were deleted
  • check the manual for more on Snort++ vs Snort
  • check the manual reference section to understand how parameters are defined, etc.
It also covers new features not demonstrated here:
  • snort2lua, a tool to convert Snort 2.X conf and rules to the new form
  • a new HTTP inspector, new_http_inspect - incomplete but off to a good start
  • a binder, for mapping configuration to traffic
  • a wizard for port-independent configuration
  • improved rule parsing - arbitrary whitespace, C style comments, #begin/#end comments
  • local and remote command line shell


Dependencias


  • autotools or cmake to build from source
  • g++ >= 4.8 or other C++11 compiler
  • daq from http://www.snort.org for packet IO
  • dnet from http://code.google.com/p/libdnet/ for network utility functions
  • LuaJIT from http://luajit.org for configuration and scripting
  • pcap from http://www.tcpdump.org for tcpdump style logging
  • pcre from http://www.pcre.org for regular expression pattern matching
  • zlib from http://www.zlib.net for decompression
  • pkgconfig from http://www.freedesktop.org to build the example plugins

COMANDOS DE SNORT

Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes funcionalidades:

  •  -A Set alert mode: fast, full, console, or none //(alert file alerts only)//
  •  -b Log packets in tcpdump format //(much faster!)//
  •  -c Use Rules File
  •  -C Print out payloads with character data only //(no hex)//
  •  -d Dump the Application Layer
  •  -e Display the second layer header info
  •  -E Log alert messages to NT Eventlog. //(Win32 only)//
  •  -f Turn off fflush() calls after binary log writes
  •  -F Read BPF filters from file
  •  -h Home network =
  •  -i Listen on interface
  •  -I Add Interface name to alert output
  •  -k Checksum mode //(all,noip,notcp,noudp,noicmp,none)//
  •  -l Log to directory
  •  -L Log to this tcpdump file
  •  -n Exit after receiving packets
  •  -N Turn off logging (alerts still work)
  •  -o Change the rule testing order to Pass|Alert|Log
  •  -O Obfuscate the logged IP addresses
  •  -p Disable promiscuous mode sniffing
  •  -P Set explicit snaplen of packet //(default: 1514)//
  •  -q Quiet. Don't show banner and status report
  •  -r Read and process tcpdump file
  •  -R Include 'id' in snort_intf.pid file name
  •  -s Log alert messages to syslog
  •  -S Set rules file variable n equal to value v
  •  -T Test and report on the current Snort configuration
  • -U Use UTC for timestamps
  •  -v Be verbose
  •  -V Show version number
  •  -W Lists available interfaces. //(Win32 only)//
  •  -w Dump 802.11 management and control frames
  •  -X Dump the raw packet data starting at the link layer
  •  -y Include year in timestamp in the alert and log files
  •  -z Set assurance mode, match on established sesions //(for TCP)//


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.