Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta

Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta

 ***** (1 opiniones)
Creative Commons Tutorial de Alfon - 16 de Diciembre de 2005
Temas Relacionados: FirewallHackingSeguridad informática
22. Alertas generadas. Modos de Alerta
Snort creará, a parte de la estructura de directorios, un archivo alert.ids donde almacenará las alertas generadas.

Hay varias maneras de configurar la salida de snort, es decir, las alertas, el modo en que se almacenarán estas en el archivo alert.ids.

Snort dispone de siete modos de alertas en la línea de ordenes: completo, rápido, socket, syslog, smb (WinPopup), consola y ninguna.

FAST

El modo Alerta Rápida nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.

C:\Snort20\bin>snort -A fast -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf

09/19-19:06:37.421286 [] [1:620:2] SCAN Proxy (8080) attempt []

[Classification: Attempted Information Leak] [Priority: 2] ...

... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080

FULL

El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen / destino e información completa de las cabeceras de los paquetes registrados.

C:\Snort20\bin>snort -A full -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf

[] [1:620:2] SCAN Proxy (8080) attempt []

[Classification: Attempted Information Leak] [Priority: 2]

09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080

TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF

S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK

Información de la cabecera del paquete:

TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF

S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28

TCP Options (4) => MSS: 1456 NOP NOP SackOK

SOCKET

Snort manda las alertas a través de un socket, para que las escuche otra aplicación.

Está opción es para Linux / UNIX.

# snort -A unsock -c snort.conf

CONSOLE

En modo console el programa imprime las alarmas en pantalla.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf

NONE

Se desactivan las alarmas.

# snort -A none -c snort.conf

SMB

Permite a Snort realizar llamadas al cliente de SMB (cliente de Samba, en Linux), y enviar mensajes de alerta a hosts Windows (WinPopUp). Evidentemente este modo es para sistemas Linux / UNIX.

Se ha de tener presente:

  • Para activar este modo de alerta, se debe compilar Snort con el conmutador de habilitar alertas SMB (enable -smbalerts).
  • Para usar esta característica enviando un WinPopUp a un sistema Windows, añadiremos a la línea de comandos de snort:

-M WORKSTATIONS

SYSLOG

El programa Snort envía las alarmas al syslog.

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s

Este modo dispone de varios parámetros, que estudiaremos más adelante.

EVENTLOG

Funcionando en este modo se registra las alertas para visualizarse a través del visor de sucesos de un sistema windows. Esta opción se activará mediante -E y sólo para Win32.



PROXIMAMENTE

En próximos capítulos avanzaremos en la creación de reglas snort, explicando todas las opciones y seguiremos con Snort en línea de comandos con la configuración del archivo snort.conf.
Autor y licencia de 'Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta'
Alfon Extraído de: http://www.nautopia.net

Creative Commons License
Esta obra está bajo una licencia de Creative Commons.
Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador.
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Wikis relacionados con 'Taller de Sistemas de detección de intrusiones SNORT - Alertas generadas. Modos de Alerta'

El propósito de este articulo es de mostrarnos una amplia y precisa descripción de lo... Más »
En este modulo algunas de las clasificaciones básicas de sistemas serán temporalmente introducidas mientras que... Más »
Los sistemas de información de consultoría han sido vistos como una opción muy atractiva para... Más »
Esta teoría surgió con los trabajos del biólogo alemán Ludwing Von Bertalonffy, publicados entre 1950... Más »
Un sistema informático utiliza ordenadores para almacenar datos, procesarlos y ponerlos a disposición de quien... Más »
¿Estás seguro de que deseas eliminar este capítulo?