Territorio Móvil

alertas de frío

“Este tutorial explica cómo administrar los modos de alarma del sistema de detección de intrusos Snort en Linux. Anteriormente publicamos artículos en LinuxHint que mostraban cómo comenzar con Snort y cómo crear reglas de Snort. Este documento describe los modos de alerta de Snort y cómo gestionarlos. Todos los ejemplos prácticos de este tutorial incluyen capturas de pantalla para que los usuarios puedan entenderlos fácilmente”.

Contenidos

Introducción a los modos de alerta de resoplido

Las alertas de Snort son notificaciones de tráfico de red anormal y conexiones sospechosas. De forma predeterminada, las alertas se almacenan en el directorio /var/log/snort. Hay 7 modos de alerta disponibles que puede especificar al ejecutar Snort, que se enumeran a continuación:

  • Rápidamente: En el modo rápido, las alertas de Snort informan la marca de tiempo, envían un mensaje de alerta, muestran la dirección IP y el puerto de origen, y la dirección IP y el puerto de destino. Este modo se instruye con -Uno más rápido Bandera.
  • Completo: Además de la información impresa en modo rápido, el modo completo muestra TTL, encabezado de paquete y longitud de datagrama, servicio, tipo de ICMP, tamaño de ventana, ACK y número de secuencia. El modo completo se define con -Una completa bandera, pero este es el modo predeterminado para las advertencias.
  • Consola: imprime avisos rápidos en la consola. Este modo se implementa con -Una consola Bandera.
  • CMG: Este modo de alerta fue desarrollado por Snort con fines de prueba; Imprime una advertencia completa en la consola sin guardar ningún registro. El modo se implementa con -Un cmg Bandera.
  • Mudarse: Esto es útil para exportar informes de alarmas a otros programas a través de sockets Unix. El modo unsock también está implementado. -A quitar la bandera.
  • registro del sistema: En el modo Syslog (Protocolo de registro del sistema), Snort envía registros de alarma de forma remota; Este modo se implementa agregando -s Bandera.
  • ninguna: En este modo, Snort no genera ninguna alerta.

Este artículo se centra en los modos Rápido, Completo, Consola y CMG, incluido el análisis de salida.

Alertas de modo rápido de Snort

El siguiente comando ejecutará Snort con alertas rápidas donde bufido llama al programa; la -C bandera indica el archivo snort.conf, -q ordena informes tranquilos (sin carteles impresos e información inicial) y -A determina rápidamente el tipo de alarma en este caso. sudo snort -c /etc/snort/snort.conf -q -A rápido

UNA NOTICIA: Para este tutorial, iniciaré un escaneo agresivo de huellas dactilares usando la técnica Xmas desde otra computadora para mostrar cómo Snort responde e informa. El comando de escaneo de Navidad se muestra a continuación. sudo nmap -v -sT -O 192.168.0.103

Las advertencias se almacenan en /var/log/snort. Para alertas rápidas, el archivo de registro correcto es /var/log/snort/snort.alert.fast. Así que ejecute el siguiente comando para leer la advertencia. cola /var/log/snort/snort.alert.fast

Como puede ver en la captura de pantalla a continuación, la salida rápida es bastante simple. Primero, detecta un paquete ICMP sospechoso que utiliza Nmap para descubrir el objetivo. Luego, detecta el tráfico entrante a los protocolos SSH y SNMP utilizados por Nmap para descubrir puertos abiertos. La información reportada incluye la hora y el tipo de incidente, las direcciones IP de origen y destino, el protocolo, los servicios involucrados y la prioridad.
Nota: Como la salida de Snort es demasiado larga, la dividí en dos capturas de pantalla.

Después de recopilar información inicial sobre las propiedades del escaneo, Snort finalmente se da cuenta de que es un escaneo de Navidad.

Como se muestra arriba, el escaneo rápido proporciona la salida más fácil de usar y mantiene la simplicidad.

Advertencias de modo completo de Snort

Obviamente, las advertencias de modo completo devuelven la salida completa. Es importante aclarar que el modo completo es el modo predeterminado y el archivo de registro es /var/log/snort/alert. Por lo tanto, para leer las advertencias completas, ejecute el comando less /var/log/snort/alerta.
En este ejemplo, inicio Snort con una advertencia completa y luego el mismo escaneo de Navidad mostró lo que se explicó en la sección anterior de este tutorial. Todas las banderas utilizadas son las mismas que en el ejemplo anterior; La única diferencia es el modo completo definido. sudo snort -c /etc/snort/snort.conf -q -A completo

Como puede ver en la figura a continuación, la salida de advertencia completa en la fase de detección de paquetes ICMP también devuelve TTL, la longitud del encabezado del paquete (IpLen) y la longitud del datagrama (DgmLen), incluida la información impresa en el escaneo rápido.
Nota: Dado que la salida de Snort es demasiado larga, la he dividido en tres capturas de pantalla en esta sección.

En la siguiente captura de pantalla, puede ver que el informe de registro de TCP también muestra el número de secuencia, el reconocimiento (Ack), el tamaño máximo del segmento (MSS), la marca de tiempo (TS) y el tamaño de la ventana.

Finalmente, Snort se da cuenta de que el tráfico pertenece a un escaneo de Navidad.

Al igual que el escaneo rápido, Snort informa cada incidente y el historial de tráfico completo.

Alertas en modo consola Snort

El modo Alert Console muestra la salida en la consola donde se ejecuta Snort. La sintaxis es siempre la misma; el unico cambio es este consola Especificación según -A Bandera. sudo snort -c /etc/snort/snort.conf -q -A consola

Como puede ver en la captura de pantalla a continuación, la salida se muestra en la consola; No necesita leer registros cuando usa este modo.

En la imagen de arriba, puede ver que el modo de consola devuelve una salida simple.

Modo de alerta Snort cmg

Las alertas de Snort CMG son solo para fines de prueba. La salida de cmg no se guarda en archivos de registro. La información se muestra en la consola como cuando se usa el modo de consola, pero se devuelve la misma información que cuando se usa el modo completo. Ejecute el siguiente comando para ejecutar Snort en modo de alerta CMG.
Nota: Dado que la salida de Snort es demasiado larga, la he dividido en tres capturas de pantalla en esta sección. sudo snort -c /etc/snort/snort.conf -q -A consola

Como verá en las capturas de pantalla a continuación, el proceso de alerta es el mismo que en los modos anteriores.

Finalmente, se informa el escaneo de Navidad, incluida toda la información devuelta en modo completo.

Eso es todo sobre los principales modos de alerta de Snort. Después de leer este y el tutorial anterior que explica cómo configurar y crear las reglas de Snort mencionadas en la introducción de este artículo, está listo para implementar Snort. En LinuxHint, continuaremos compartiendo más conocimientos sobre Snort.

Conclusión

Los sistemas de detección de intrusos (IDS) como Snort son un excelente recurso para proteger redes y sistemas. Como puede ver, Snort es muy flexible y se puede personalizar según las necesidades del usuario simplemente reemplazando una bandera. Su flexibilidad también se demostró en nuestro artículo anterior sobre la creación y administración de reglas personalizadas. El mercado ofrece muchas alternativas de IDS como OSSEC, pero Snort sigue siendo una de las más populares entre los administradores de sistemas. Para los usuarios que saben cómo funcionan los protocolos, aprender e implementar Snort es una tarea bastante fácil y un buen proceso para incorporar importantes conocimientos de seguridad en la red. Vale la pena mencionar que tratar con Snort es obligatorio para todos los administradores de sistemas. Dado que IDS analiza el tráfico de red, se puede implementar en redes independientemente de los sistemas operativos de la computadora. Gracias por leer este documento que explica cómo ejecutar Snort con diferentes modos de alerta y cómo comprender sus resultados. Síganos para obtener más tutoriales profesionales de Linux y Snort.

MÁS SOBRE LINUX
índice de cambio de pandas
Cómo descargar la imagen ISO oficial de Windows 10/11 sin herramientas adicionales – La manera fácil
La distribución Slackware Linux cumple 30 años
¿Puedo compartir mi cuenta de Roblox?
¿Puedo pedir un amigo en Roblox?
¿Wayland se convertirá en la forma preferida de obtener una GUI en Linux?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.