Alertas de inicio

Jacobo Piña
Alertas de inicio
"Este tutorial explica cómo administrar los modos de alerta del sistema de detección de intrusos Snort en Linux.

Anteriormente en Linuxhint, publicamos artículos que muestran cómo comenzar con Snort y cómo crear reglas de Snort.

Este documento describe los modos de alerta de Snort y cómo administrarlos.

Todos los ejemplos prácticos en este tutorial incluyen capturas de pantalla para que los usuarios los comprendan fácilmente."

Introducción a los modos de alerta de Snort

Las alertas de Snort son tráfico de red anómalos e informes de conexiones sospechosas. Por defecto, las alertas se almacenan bajo el /var/log/snort directorio.

Hay 7 modos de alerta disponibles que puede especificar al ejecutar Snort, que se enumera a continuación:

  • Rápido: Cuando en modo rápido, las alertas de Snort informan la marca de tiempo, envíen un mensaje de alerta, muestre la dirección IP y el puerto de origen, y la dirección IP de destino y el puerto. Este modo se instruye utilizando el -Un ayuno bandera.
  • Lleno: Además de la información impresa en el modo rápido, el modo completo muestra el TTL, los encabezados de paquetes y la longitud de datagrama, el servicio, el tipo de ICMP, el tamaño de la ventana, el ACK y el número de secuencia. El modo completo se define con el -Una completa bandera, pero este es el modo de alerta predeterminado.
  • Consola: Imprime alertas rápidas en la consola. Este modo se implementa con el -Una consola bandera.
  • CMG: Este modo de alertas fue desarrollado por Snort para fines de prueba; Imprime una alerta completa en la consola sin guardar registros. El modo se implementa con el -Un cmg bandera.
  • Descanse: Esto es útil para exportar informes de alerta a otros programas a través de Sockets Unix. El modo de conformidad se implementa utilizando el -A FIERTA DESECHA.
  • Syslog: En el modo syslog (protocolo de registro del sistema), Snort envía registros de alerta de forma remota; este modo se implementa agregando el -s bandera.
  • Ninguno: Con este modo, Snort no genera alertas.

Este artículo se centra en consola rápida, completa y cmg modos, incluido el análisis de salida.

Alertas de modo rápido de bufín

El siguiente comando ejecuta Snort con alertas rápidas, donde bufido llama al programa; el -C la bandera indica el bisoteo.archivo conf, -Q instruye un informe tranquilo (sin banner de impresión e información inicial) y -A determina el tipo de alerta, en este caso, rápido.

sudo snort -c/etc/bisot/bisot.conf -q -Un rápido

NOTA: Para este tutorial, lanzaré un escaneo agresivo de huellas dactilares utilizando la técnica de Navidad de una computadora diferente para mostrar cómo reacciona e informa Snort. El comando de escaneo de Navidad se muestra a continuación.

sudo nmap -v -st -o 192.168.0.103

Las alertas se almacenan bajo /var/log/snort. En el caso de las alertas rápidas, el archivo de registro correcto es /var/log/bisot/bisot.alerta.rápido.

Por lo tanto, para leer la alerta, ejecute el siguiente comando.

cola/var/log/bisot/bisot.alerta.rápido

Como puede ver en la captura de pantalla a continuación, la salida rápida es bastante simple. Primero, detecta un paquete ICMP sospechoso utilizado por NMAP para detectar el objetivo. Luego detecta el tráfico entrante a los protocolos SSH y SNMP utilizados por NMAP para descubrir puertos abiertos.

La información reportada incluye el tiempo y las direcciones IP IP, el protocolo, los servicios y la prioridad involucrados de tiempo, origen y destino.

Nota: Dado que la salida de Snort es demasiado larga, la dividí en dos capturas de pantalla.

Después de recopilar información inicial sobre las características del escaneo, Snort finalmente se da cuenta de que es un escaneo de Navidad.

Como se muestra arriba, el escaneo rápido devuelve la salida más fácil de usar, manteniendo la simplicidad.

Alertas de modo completo de bufín

Evidentemente, las alertas de modo completo devolverán la salida completa. Es importante aclarar que el modo completo es el modo predeterminado, y el archivo de registros es /var/log/snort/alerta. Por lo tanto, para leer alertas completas, ejecute menos el comando /var/log/snort/alerta.

Para este ejemplo, lanzaré Snort con una alerta completa, y luego el mismo escaneo de Navidad ha demostrado lo explicado en la sección anterior de este tutorial.

Todas las banderas usadas son las mismas que en el ejemplo anterior; La única diferencia es el modo completo definido.

sudo snort -c/etc/bisot/bisot.conf -q -A lleno

Como puede ver en la siguiente imagen, en la fase de detección de paquetes ICMP, la salida de alerta completa también devuelve TTL, longitud del encabezado del paquete (iPlen) y longitud de datagrama (DGMLEN), incluida la información impresa en el escaneo rápido.

Nota: Dado que la salida de Snort es demasiado larga, en esta sección, la dividí en tres capturas de pantalla.

En la captura de pantalla a continuación, puede ver que el informe del protocolo TCP también muestra el número de secuencia, el reconocimiento (ACK), el tamaño máximo del segmento (MSS), la marca de tiempo (TS) y el tamaño de la ventana.

Finalmente, Snort se da cuenta de que el tráfico pertenece a un escaneo de Navidad.

Al igual que el escaneo rápido, Snort informará cada incidente y el progreso completo del tráfico.

Alertas de modo de consola de Snort

El modo de consola alertas muestra la salida en la consola donde se ejecuta Snort. La sintaxis es siempre la misma; El único cambio es el consola especificación después del -A bandera.

sudo snort -c/etc/bisot/bisot.conf -q -A consola

Como puede ver en la captura de pantalla a continuación, la salida se muestra en la consola; No necesita leer registros al usar este modo.

En la imagen de arriba, puede ver que el modo de consola devuelve una salida simple.

Modo de alerta CMG Snort CMG

Las alertas de Snort CMG son solo para fines de prueba. Las salidas de CMG no se guardan en archivos de registro. La información se muestra en la consola, como cuando se usa el modo de la consola, pero devuelve la misma información devuelta cuando se usa el modo completo.

Para ejecutar Snort en modo de alerta CMG, ejecute el comando a continuación.

Nota: Dado que la salida de Snort es demasiado larga, en esta sección, la dividí en tres capturas de pantalla.

sudo snort -c/etc/bisot/bisot.conf -q -A consola

Como verá en las capturas de pantalla a continuación, el proceso de alerta es el mismo que con los modos anteriores.

Finalmente, se informa el escaneo de Navidad, incluida toda la información devuelta en el modo completo.

Eso se trata de los principales modos de alerta de Snort. Después de leer esto y el tutorial anterior explicando cómo configurar y crear reglas de Snort mencionadas en la introducción de este artículo, estará listo para implementar Snort. En Linuxhint, seguiremos compartiendo más conocimiento sobre Snort.

Conclusión

Sistemas de detección de intrusos (IDS) como Snort es un excelente recurso para proteger las redes y sistemas. Como puede ver, Snort es muy flexible y se puede adaptar a las necesidades del usuario simplemente reemplazando una bandera. Su flexibilidad también se probó en nuestro artículo anterior sobre la creación y gestión de reglas personalizadas. El mercado ofrece muchas alternativas de identificación como OSSEC, pero Snort sigue siendo una de las más populares entre los administradores del sistema. Para los usuarios que saben cómo funcionan los protocolos, el aprendizaje e implementación de Snort es una tarea bastante fácil y un buen proceso para incorporar un conocimiento importante sobre la seguridad de la red. Vale la pena mencionar que tratar con Snort es obligatorio para cada administrador del sistema. Dado que IDS analiza el tráfico de red, esto se puede implementar en redes independientemente de los sistemas operativos de la computadora.

Gracias por leer este documento explicando cómo ejecutar Snort con diferentes modos de alerta y cómo comprender sus salidas. Sigue siguiéndonos para más tutoriales profesionales de Linux y Snort.

Potencia Shell
¿Cuáles son los pasos para iniciar Windows PowerShell?
Para iniciar PowerShell, primero, navegue hasta el menú de inicio y escriba PowerShell en el cuadro ...
Andrés Barrientos
Mysql mariadb
Cómo encontrar un personaje específico en MySQL?
Se puede encontrar un carácter específico en MySQL utilizando los operadores similares y regexp o la...
Pilar Alemán
Base de datos Oracle
Cómo almacenar en caché de la secuencia de Oracle para mejorar los recursos de diccionario de datos?
Las opciones Cache, Noorder y Keep se pueden utilizar para la secuencia de Oracle de caché para mejo...
Mayte Mesa
Pitón
Eliminar caracteres especiales de String Python
Mayte Mesa
Pitón
SEABOR SAVE PLATA
Mayte Mesa
Pitón
Python Counted en la lista
Mayte Mesa
Pitón
Etiquetas del eje marino
Andrés Barrientos
OS de Windows
¿Cuál es la diferencia entre Windows Top 10 Home y Pro
Pilar Melgar
Comandos de Linux
Cómo instalar la versión de CUDA en Linux
José Luis Villagómez
Estibador
Complementos de motor Docker
Daniela Villaseñor
Javascript
Cómo usar el método GetElementsByTagName en JavaScript
Carolina Guzmán
Java
¿Qué son las expresiones, declaraciones y bloques en Java?
Pilar Alemán
Java
Cómo usar Java One Line si la declaración?
Lorenzo Morales