• Author / Uploaded
• Eduardo Arias

Citation preview

SNORT INTEGRANTES: Alvia Guin Ashley Arias Yépez Eduardo Estrella Vera

N7A DISEÑO E IMPLEMENTACION DE SEGURIDADES

REGLA EN

1.- Escribiremos una regla Snort para detectar la firma de la infección. Abrir un terminal cd /etc/nsm/rules Sudo vi local.rules i para insertar texto en el archivo en el modo inserción

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A

Qué hace esta regla: alert tcp any any -> any 80 (msg: “Fake AV payload”; reference: url,http://whateversite.com; content: “/forum/showthread.php”; flow:to_server; nocase; sid: 1000001; rev:1) Ingrésela en el archivo.

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A

Presiona la tecla ESC y escriba :wq enter Reiniciar Snort – sudo rule-update Mientras no haya errores, lo último que se mostrará será:

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A

Reenviar el pcap Abrir el terminal cd /home/admin1/Desktop/pcap_a.pcap sudo tcpreplay –i eth1 – M10 pcap_a.pcap Aparecerá un mensaje de que 2510 paquetes fueron inyectados en la interfaz eth1

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A

Abra Sguil y deberíamos encontrar tráfico más interesante Click en el evento “Fake AV payload” Seleccione “Show Packet Data” y “Show Rule” Debería observar la regla creada y el paquete con “forum/showthread.php”

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A

NOTAS:

La regla creada no aparecía en los Eventos, luego de varios intentos la regla creada apareció.

ALVIA – ARIAS – ESTRELLA – OVIEDO

N7A