Tecnología

Inicio

Cómo crear un conjunto de reglas de Snort

June 14

Cómo crear un conjunto de reglas de Snort


Snort es una aplicación de red de detección de intrusiones y prevención libre para el sistema operativo Linux. Snort cuenta con un motor incorporado que le permite escribir sus propias reglas utilizando un lenguaje especializado. reglas de Snort se componen de dos partes: la cabecera y las opciones. Las reglas siguen un patrón básico: Un paquete de datos entrante es examinado y probado contra los detalles de las reglas. Si se cumple una condición - si el paquete es de una dirección específica, por ejemplo - se toma una acción. Puede utilizar este patrón básico para crear sus propias reglas de Snort.

Instrucciones

1 Familiarizarse con la forma general de una regla de Snort. Una regla es el siguiente:

protocolo de actuación address0_IP dirección address0_port address1_ip address1_port (opciones)

2 Decidir qué "acción" se desea que la regla para tomar. El campo de "acción" determina cuál es la regla en realidad lleva a cabo. La acción "log", por ejemplo, simplemente registra el evento de red. La acción de "alerta" envía un mensaje que está determinado por el archivo de configuración de Snort o envía un mensaje a la línea de comandos. Consulte la documentación de Snort para obtener una lista completa de las acciones aceptables.

3 Decidir qué protocolo que a la que desea aplicar la regla. El campo "protocolo" se refiere al protocolo de red que está siendo utilizado por el paquete de datos, que puede ser IP, ICMP, TCP o UDP.

4 Determinar la dirección de la regla. El campo "dirección" dice Snort, que es la dirección de origen del paquete y que es el destino. Por ejemplo, mediante la colocación de la secuencia de caracteres "->" en el campo de destino, "address0_IP" es la dirección IP de origen del paquete de datos, mientras que "address1_IP" es el destino del paquete.

5 Escribe una regla de Snort que alerta al programa cada vez que se detecta tráfico desde una dirección específica. Supongamos que este tráfico utiliza el protocolo TCP y viene de la dirección 192.168.2.99. Mediante el uso de la palabra clave "ninguna", puede rellenar los campos de puerto y la dirección del destino de los datos. La siguiente regla de Snort crea un mensaje cada vez que se detecta tráfico desde esta dirección:

tcp alerta 192.168. 2.99 cualquier -> cualquier ninguna (msg: ". El tráfico de 192.168 2.99";)