Manualbsicodedeteccindeescaneosconsnort

Snortesunaherramientadeseguridadmuyutilizadaenlinux,conlacual podemos asegurar nuestro equipo o nuestra red. Ofrece muchas posibilidades,peroenestepequeomanualnoscentraremosenlasmas bsicas. Unadeellasesladeteccindeescanosdepuertos.Snortnosofrecede forma muy clara las ips que han intentado escanear nuestro equipo, asi comolahoradelescaneoydetallessobrelospaquetesempleados. Unavezinstaladosnortyaseadesdelasfuentesodesdeloscdsdenuestra distribucin de linux hemos de configurarlo modificando el archivo snort.conf, estableciendo las variables oportunas a la configuracin de nuestrared.Porejemplosiquequeremosestablecerquenuestrainterfaz externalatenemosenlaconexin del mdem 56K, lo que tenemos que hacereseditardichoarchivoybuscarlasiguientelinea: varEXTERNAL_NETany Ycambiarlaporesto: varEXTERNAL_NET$ppp0_ADDRESS Aunquesiladejamoscomoestabatambinnosdetectarlosescaneos,solo quedelasegundaformapodemosespecificarexactamenteenqueinterfaz queremosdetectarlosescaneos. En snort.conf tambin podemos establecer todas las variables correspondientesanuestrosservidoresweb,DNSocualesquieraestuvieran presentesennuestrared. Unavezconfiguradoestearchivohemosdeasegurarnosdequesnortvaa poderescribirloslogsenelsitioadecuado.Asiquenosvamosa/var/log/y nosaseguramosdequeexisteundirectoriollamadosnortysinolohubiera locrearamos. Solonosquedaarrancarsnortindicndoledondeestelarchivosnort.conf ylainterfazquehadevigilarysiseproducieraalgnescaneo,dentrode/ var/log/snort/ nos aparecera un directorio con la ip que tenia en ese momentoesainterfaz,ylaipquenoshaescaneadoydentrodel,distintos archivosconinformacinsobreelescaneo,desdedondeseprodujo,hora, etc.

Unejemplo,unavezinstaladoyconfiguradosnortenmisistema,loarranco delasiguientemanera: [root@localhost vlad]# snort c /compilados/snort2.2.0/etc/snort.conf i ppp0 Snortseponeavigilar.Ahoranosvamosaunescaneronline,porejemplo eldelaAsociacindeInternautas: http://www.internautas.org/wscanonline.php Nosescaneamosyunavezfinalizadonosvamosa/var/log/snort/yvemos loquesenoshacreado: [root@localhost/]#cd/var/log/snort/ [root@localhostsnort]#ls 216.121.96.120/62.83.204.24/alert Tenemosdosdirectorios,unoconlaipquenoshaescaneadoyotroconla ip que en ese momento tenamos mediante la conexin a internet de nuestromdemanalgico.Vamosaqueinformacinnosdalaprimeraip: [root@localhostsnort]#cd216.121.96.120/ [root@localhost216.121.96.120]#ls TCP:4047161TCP:4108161 Vamosaverunodeesosarchivos: [root@localhost216.121.96.120]#nanoTCP\:4047161 [**]SNMPrequesttcp[**] 09/1617:15:53.145243216.121.96.120:4047>62.83.204.24:161 TCPTTL:51TOS:0x0ID:17309IpLen:20DgmLen:60DF ******S*Seq:0xF0F8991CAck:0x0Win:0x7D78TcpLen:40 TCPOptions(5)=>MSS:1460SackOKTS:5134845670NOPWS:0 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+=+=+=+=+=+ Fecha,hora,ipquenosescaneo,puertodesdeelquelohizo,puertoalque nosllegoanosotros...Muycompleto. Simiramoseneldirectorioquellevanuestraipencontraremoslosiguiente: [root@localhost216.121.96.120]#cd../62.83.204.24/

[root@localhost62.83.204.24]#ls TCP:100080TCP:107480TCP:121480TCP:190080 TCP:102180TCP:111980TCP:188980TCP:197380 Vemoselltimoarchivo: [**]BADTRAFFICloopbacktraffic[**] 09/1617:17:00.709208127.0.0.1:80>62.83.204.24:1973 TCPTTL:124TOS:0x0ID:57676IpLen:20DgmLen:40 ***A*R**Seq:0x0Ack:0x1DED0001Win:0x0TcpLen:20 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= +=+=+=+=+=+=+=+ aqunosdicequeelescaneoserealizdesde127.0.0.1:80,esoquieredecir quesetratabadeunescaneoonline.