Professional Documents
Culture Documents
Snort
III Jornada Nacioal de Seguridad
Informtica
Ing. Moiss David Rincn DHoyos, MSc.
Categorizacin de IDS
NIDS
HIDS
Sesiones de usuarios
Actividades de los usuarios privilegiados
Cambios en el sistema de archivos
No son infalibles
No compensan una mala administracin
No investigan ataques sin intervencin
humana
No intuyen ni siguen las polticas de
seguridad organizacional
No compensan debilidades en protocolos de
red
No compensan los problemas debidos a la
calidad o integridad de la informacin
Snort
Diseo de Snort
El Decodificador de Paquetes
telnet
TCP
IP header
Ethernet
packet
network
Data Flow
Packet Stream
Sniffing
Post-Processor
& Output Stage
<Plug-Ins>
Alerts/Logs
Plugins
Prepocesador
Deteccin
Salida
Motor de Deteccin
Reglas
alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any (flags: SF; msg: SYN-FIN Scan;)
Cabecera
Opciones
Posibilidades de Especificacin
de las Opciones
IP TTL
IP ID
Fragment size
TCP Flags
TCP Ack number
TCP Seq number
Payload size
Content
Content offset
Content depth
Session recording
ICMP type
ICMP code
Alternate log files
Reglas preexistentes
Bitacora de Snort
Contenido de /var/log/snort/alert
Implementacin
tcpdump
Packet Stream
Sniffing
Filter file
tcpdump
process
To Log File
Implementacin (2)
Cron
Report
Generator
Packet Stream
SNORT
Sniffing
Rules file
To Alert File
Alert
File
Implementacin (3)
Cron
Report
Generator
Packet Stream
SNORT
Sniffing
Rules file
To Alert File
Alert
File
Implementacin
Cron (4)
Logging
Interval
Daily
Short-Term
Driver
Filters
Long-Term
Driver
Filters
Logging
Interval +
46 minutes
Packet
Logs
Packet
Logs
ssh hash
and delete
Log Collection
and Processing
Detailed
Analysis
Alerts
& Logs
Filters
Rules
STD
OUT
Daily
Analysis
Filters
Daily
1 Min. After
Log Finish
scp
transfer
Rules
Cron
Daily
Packet Stream
Packet Stream
Short-Term
Cleanup
Salida de Snort
A bases de datos
XML
Formato binario de Tcpdump
Formato unificado de Snort
Ascii
syslog
Winpopup
Ms dependiendo de herramientas de
terceros; buscapersonas, telfonos mviles,
acciones automticas...
Herramientas de Terceros
SnortSnarf
http://www.silicondefense.com/software/snor
tsnarf/
AcidLab http://acidlab.sourceforge.net/
Demark http://www.demarc.com/
Guardian http://www.chaotic.org/guardian/
snort-panel http://www.xato.net/files.htm