Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta
Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta
(1 opiniones)
Tutorial de
Alfon - 16 de Diciembre de 2005
22. Alertas generadas. Modos de Alerta
Snort creará, a parte de la estructura de directorios, un archivo alert.ids donde almacenará las alertas generadas.
Hay varias maneras de configurar la salida de snort, es decir, las alertas, el modo en que se almacenarán estas en el archivo alert.ids.
Snort dispone de siete modos de alertas en la línea de ordenes: completo, rápido, socket, syslog, smb (WinPopup), consola y ninguna.
FAST
El modo Alerta Rápida nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.
C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
09/19-19:06:37.421286 [] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2] ...
... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
FULL
El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen / destino e información completa de las cabeceras de los paquetes registrados.
C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
[] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2]
09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
Información de la cabecera del paquete:
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
SOCKET
Snort manda las alertas a través de un socket, para que las escuche otra aplicación.
Está opción es para Linux / UNIX.
# snort -A unsock -c snort.conf
CONSOLE
En modo console el programa imprime las alarmas en pantalla.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
NONE
Se desactivan las alarmas.
# snort -A none -c snort.conf
SMB
Permite a Snort realizar llamadas al cliente de SMB (cliente de Samba, en Linux), y enviar mensajes de alerta a hosts Windows (WinPopUp). Evidentemente este modo es para sistemas Linux / UNIX.
Se ha de tener presente:
-M WORKSTATIONS
SYSLOG
El programa Snort envía las alarmas al syslog.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s
Este modo dispone de varios parámetros, que estudiaremos más adelante.
EVENTLOG
Funcionando en este modo se registra las alertas para visualizarse a través del visor de sucesos de un sistema windows. Esta opción se activará mediante -E y sólo para Win32.
PROXIMAMENTE
En próximos capítulos avanzaremos en la creación de reglas snort, explicando todas las opciones y seguiremos con Snort en línea de comandos con la configuración del archivo snort.conf.
Hay varias maneras de configurar la salida de snort, es decir, las alertas, el modo en que se almacenarán estas en el archivo alert.ids.
Snort dispone de siete modos de alertas en la línea de ordenes: completo, rápido, socket, syslog, smb (WinPopup), consola y ninguna.
FAST
El modo Alerta Rápida nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.
C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
09/19-19:06:37.421286 [] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2] ...
... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
FULL
El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen / destino e información completa de las cabeceras de los paquetes registrados.
C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
[] [1:620:2] SCAN Proxy (8080) attempt []
[Classification: Attempted Information Leak] [Priority: 2]
09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
Información de la cabecera del paquete:
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
SOCKET
Snort manda las alertas a través de un socket, para que las escuche otra aplicación.
Está opción es para Linux / UNIX.
# snort -A unsock -c snort.conf
CONSOLE
En modo console el programa imprime las alarmas en pantalla.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf
NONE
Se desactivan las alarmas.
# snort -A none -c snort.conf
SMB
Permite a Snort realizar llamadas al cliente de SMB (cliente de Samba, en Linux), y enviar mensajes de alerta a hosts Windows (WinPopUp). Evidentemente este modo es para sistemas Linux / UNIX.
Se ha de tener presente:
- Para activar este modo de alerta, se debe compilar Snort con el conmutador de habilitar alertas SMB (enable -smbalerts).
- Para usar esta característica enviando un WinPopUp a un sistema Windows, añadiremos a la línea de comandos de snort:
-M WORKSTATIONS
SYSLOG
El programa Snort envía las alarmas al syslog.
C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s
Este modo dispone de varios parámetros, que estudiaremos más adelante.
EVENTLOG
Funcionando en este modo se registra las alertas para visualizarse a través del visor de sucesos de un sistema windows. Esta opción se activará mediante -E y sólo para Win32.
PROXIMAMENTE
En próximos capítulos avanzaremos en la creación de reglas snort, explicando todas las opciones y seguiremos con Snort en línea de comandos con la configuración del archivo snort.conf.
Tabla de contenidos
- 1 - Objetivos
- 2 - Reglas SNORT 6-11-02
- 3 - Breve descripción
- 4 - Tipos de IDS
- 5 - Arquitectura de un IDS
- 6 - Dónde colocar el IDS
- 7 - Introducción a SNORT
- 8 - INSTALACIÓN Y CONFIGURACIÓN DEL IDS CENTER
- 9 - Descarga de IDSCenter
- 10 - Configuración
- 11 - Puesta en marcha de SNORT con IDScenter
- 12 - Otras opciones de IDSCenter
- 13 - Alert.ids: Fichero de alerta generado por SNORT
- 14 - CREACIÓN DE REGLAS CON SNORT
- 15 - Practicas
- 16 - Reglas Snort para casos varios
- 17 - Practica comentada. Un caso real
- 18 - Instalación de las reglas creadas
- 19 - SNORT EN LINEA DE COMANDOS
- 20 - Snort en modo Sniffer y registro de paquetes
- 21 - Snort en modo NIDS
- 22 - Alertas generadas. Modos de Alerta
- 23 - APÉNDICE 1: ENVIANDO ALERTAS A UN SYSLOG REMOTO CON SNORT Y/O IDSCEN
Autor y licencia de 'Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta'
|
Wikis relacionados con 'Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta'
El propósito de este articulo es de mostrarnos una amplia y precisa descripción de lo...
Más »
En este modulo algunas de las clasificaciones básicas de sistemas serán temporalmente introducidas mientras que...
Más »
Los sistemas de información de consultoría han sido vistos como una opción muy atractiva para...
Más »
Esta teoría surgió con los trabajos del biólogo alemán Ludwing Von Bertalonffy, publicados entre 1950...
Más »
Un sistema informático utiliza ordenadores para almacenar datos, procesarlos y ponerlos a disposición de quien...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
