SNORT INTEGRANTES: Alvia Guin Ashley Arias Yépez Eduardo Estrella Vera N7A DISEÑO E IMPLEMENTACION DE SEGURIDADES REG
Views 99 Downloads 6 File size 646KB
SNORT INTEGRANTES: Alvia Guin Ashley Arias Yépez Eduardo Estrella Vera
N7A DISEÑO E IMPLEMENTACION DE SEGURIDADES
REGLA EN
1.- Escribiremos una regla Snort para detectar la firma de la infección. Abrir un terminal cd /etc/nsm/rules Sudo vi local.rules i para insertar texto en el archivo en el modo inserción
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A
Qué hace esta regla: alert tcp any any -> any 80 (msg: “Fake AV payload”; reference: url,http://whateversite.com; content: “/forum/showthread.php”; flow:to_server; nocase; sid: 1000001; rev:1) Ingrésela en el archivo.
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A
Presiona la tecla ESC y escriba :wq enter Reiniciar Snort – sudo rule-update Mientras no haya errores, lo último que se mostrará será:
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A
Reenviar el pcap Abrir el terminal cd /home/admin1/Desktop/pcap_a.pcap sudo tcpreplay –i eth1 – M10 pcap_a.pcap Aparecerá un mensaje de que 2510 paquetes fueron inyectados en la interfaz eth1
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A
Abra Sguil y deberíamos encontrar tráfico más interesante Click en el evento “Fake AV payload” Seleccione “Show Packet Data” y “Show Rule” Debería observar la regla creada y el paquete con “forum/showthread.php”
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A
NOTAS:
La regla creada no aparecía en los Eventos, luego de varios intentos la regla creada apareció.
ALVIA – ARIAS – ESTRELLA – OVIEDO
N7A