Capitulos de este wiki

Inicio

1 Objetivos
2 Reglas SNORT 6-11-02
3 Breve descripción
4 Tipos de IDS
5 Arquitectura de un IDS
6 Dónde colocar el IDS
7 Introducción a SNORT
8 Instalación y configuración del ids center
9 Descarga de IDSCenter
10 Configuración
11 Puesta en marcha de SNORT con IDScenter
12 Otras opciones de IDSCenter
13 Alert. Ids: Fichero de alerta generado por SNORT
14 Creación de reglas con snort
15 Practicas
16 Reglas Snort para casos varios
17 Practica comentada. Un caso real
18 Instalación de las reglas creadas
19 Snort en linea de comandos
20 Snort en modo Sniffer y registro de paquetes
21 Snort en modo NIDS
22 Alertas generadas. Modos de Alerta
23 Apéndice 1: enviando alertas a un syslog remoto con snort y/o idscen

Taller de Sistemas de detección de intrusiones SNORT - Instalación de las reglas creadas

Anuncios Google

18 - Instalación de las reglas creadas

[editar]

Tutorial creado por Alfon. Extraido de: http://www.nautopia.net

16 de Diciembre de 2005

< anterior | 1 ... 16 17 18 19 20 21 22 ... 23 | siguiente >

Las reglas Snort de ubican en ficheros .rules (snort rules). Aquí vemos parte del contenido de uno de estos ficheros:

# (C) Copyright 2001,2002, Martin Roesch, Brian Caswell, et al.
# All rights reserved.
# $Id: virus.rules,v 1.16 2002/08/18 20:28:43 cazz Exp $
#------------
# VIRUS RULES
#------------
#
# NOTE: These rules are NOT being actively maintained.
#
#
# If you would like to MAINTAIN these rules, e-mail
# snort-sigs@lists.sourceforge.net
#

alert tcp any 110 -> any any (msg:"Virus - SnowWhite Trojan Incoming"; content:"Suddlently"; sid:720; classtype:misc activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible pif Worm"; content: ".pif"; nocase; sid:721; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible NAVIDAD Worm"; content: "NAVIDAD.EXE"; nocase; sid:722; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "myromeo.exe"; nocase; sid:723; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "myjuliet.chm"; nocase; sid:724; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "ble bla"; nocase; sid:725; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "I Love You"; sid:726; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "Sorry... Hey you !"; sid:727; classtype:misc-activity; rev:3;)

alert tcp any 110 -> any any (msg:"Virus - Possible MyRomeo Worm"; content: "my picture from shake-beer"; sid:728; classtype:misc-activity; rev:3;)

Crearemos un fichero como este personalizado para almacenar nuestras reglas creadas (lo importante de este fichero de texto plano son las reglas, el resto -con la marca # - es sólo a título informativo).

Estos ficheros .rules se almacenan en el directorio raíz de Snort (por defecto).

Instalación de las reglas desde IDSCenter

Panel de IDSCenter > IDS rules > Rules/Signatures

Con el navegador del panel buscamos nuestro archivo con las reglas o regla creada (.rules), la añadimos al set con "Add" y aplicamos con "Apply".

Esta operación la realizaremos, como ya comentamos en el TEMA 8, con Snort parado Stop Snort, una vez hecho todo el proceso lo volveremos a iniciar con los cambios aplicados.

[editar]

< anterior | 1 ... 16 17 18 19 20 21 22 ... 23 | siguiente >

Opinar
5 opiniones

excelente

la verdad coincido con Pedro Chohen es un gran aporte.

Muy bueno

Buen manual y completo para comenzar en el uso de esta herramienta

Excelente

Excelente Manual muy detallado, gracias

Pedro Cohen

Muy bueno.

Muy buen tutorial y quien dijo
que es poco explicito que no le eche la culpa a los demas de ser tan cerrado
ojala hubieran mas de este tipo
de verdad muy bueno.

David Mañé

Ids.

Un buen curso para estar en internet y gratis. Tendrían que haber más de estos.

Tutoriales relacionados con 'Taller de Sistemas de detección de intrusiones SNORT'

Taller de Sistemas de detección de intrusiones SNORT

Vamos a ver cómo funciona Snort en todas sus facetas, instalación y configuración (sistemas Windows),... Más »

Taller de TcpDump / WinDump: Analizando la Red

Una de las actividades más comunes en la administación de una red o administración de... Más »

Anuncios Google

Autor y licencia de 'Taller de Sistemas de detección de intrusiones SNORT'

Tutorial de Alfon. Extraido de: http://www.nautopia.net CopyLeft

Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciador.

Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.

Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Taller de Sistemas de detección de intrusiones SNORT - Instalación de las reglas creadas

18 - Instalación de las reglas creadas

Opinar 5 opiniones

Tutoriales relacionados con 'Taller de Sistemas de detección de intrusiones SNORT'

Anuncios Google

Autor y licencia de 'Taller de Sistemas de detección de intrusiones SNORT'

Opinar
5 opiniones