“Conocimientos Redes>Seguridad de Red

Cómo crear un conjunto de reglas de Snort

2011/1/16
Snort es una aplicación de red de detección de intrusiones y prevención de libre para el sistema operativo Linux. Snort tiene un motor incorporado que le permite escribir sus propias reglas utilizando un lenguaje especializado . Reglas de Snort se componen de dos partes: la cabecera y las opciones. Reglas siguen un patrón básico : Un paquete de datos entrante es examinado y probado contra los detalles de las reglas . Si se cumple una condición - si el paquete es a partir de una dirección específica , por ejemplo - se toma una acción. Usted puede utilizar este modelo básico para crear sus propias reglas de Snort . Instrucciones
1

Familiarícese con la forma general de una regla de Snort . Una regla es la siguiente:

acción protocolo address0_IP address0_port dirección address1_ip address1_port ( opciones)
2

Decida qué "acción" se desea que la regla a seguir. El campo de "acción" determina lo que la norma cumple realmente . La acción de "log" , por ejemplo, simplemente registra el evento de red . La acción de "alerta " envía un mensaje de que está determinado por el archivo de configuración de Snort o envía un mensaje a la línea de comandos . Consulte la documentación de Snort para obtener una lista completa de las acciones aceptables .
3

Decidir qué protocolo a la que desea aplicar la regla . El campo " protocolo " se refiere al protocolo de red que está siendo utilizado por el paquete de datos , que puede ser IP, ICMP , TCP o UDP .
4

determinar la dirección de la regla . El campo de " dirección " Snort dice que es la dirección de origen del paquete y que es el destino . Por ejemplo , mediante la colocación de la secuencia de caracteres " - >" en el campo de destino , " address0_IP " es la dirección IP de origen del paquete de datos , mientras que " address1_IP " es el destino del paquete
5

. Escribe una regla de Snort que alerta el programa cada vez que se detecta el tráfico de una dirección específica . Supongamos que este tráfico utiliza el protocolo TCP y proviene de la dirección 192.168.2.99 . Mediante el uso de la palabra " ninguna ", se puede rellenar los campos de puerto y la dirección del destino de los datos. La regla de Snort siguiente, se crea un mensaje cuando se detecta tráfico procedente de esta dirección :

alerta tcp 192.168 . 2.99 ninguna -> any any (msg : " . Tráfico de 192.168 2.99 " ;)

Seguridad de Red
¿Cómo bloqueo SSL en la Escuela
Cómo reinstalar ViewPoint
Cómo editar directivas de seguridad local en un dominio
Cómo instalar un certificado SSL en Plesk
¿Cómo puedo saber si Keylogger es en mi escritorio
Cómo detener la Seguridad Desbloquear de archivos de Windows
Cómo cerrar los puertos de PC
Cómo instalar Protocolo de Internet versión 4
Conocimientos Informáticos © http://www.ordenador.online