Universidad Internacional de la Rioja

Máster Universitario en Seguridad Informática

Seguridad en Redes

Actividad No. 3: Sistema de Detección de Intrusos. Snort

Estudiante: Javier Leonardo Díaz García

1. Actividad
Realizar las siguientes actividades:

• Para facilitar la creación de reglas y mejorar su entendimiento decides crear algunas

variables. Defines una variable para la red local (RED_LOCAL), otra para la DMZ (RED_DMZ)
y otra para todo lo que no sea ni red local ni DMZ (RED_EXTERNA).
• En Example están preocupados porque creen que alguien ha estado atacando su servidor
WEB e intentando descargarse el fichero pass.html. Decides añadir una regla que detecte el
patrón GET pass.html en la parte de datos de todos los paquetes HTTP (puerto 80) dirigidos
al servidor WEB. Cuando se detecte el patrón indicado la regla lanzará una alerta con el
mensaje Detectado Ataque HTTP.
• Tras algunas pruebas te das cuenta de que tu regla anterior solo funcionará si la descarga
del fichero indicado se lleva a cabo sin incluir una ruta previa. Decides añadir una nueva
regla que busque la cadena pass.html entre los caracteres 5 y 261 de la parte de datos de
todos los paquetes HTTP (puerto 80) dirigidos al servidor WEB. Cuando se detecte el patrón
indicado la regla lanzará una alerta con el mensaje Detectado Intento de Acceso al fichero
pass.html.
• El administrador de red de Example está preocupado porque parece que algunos
trabajadores están utilizando servicios no protegidos en Internet que podrían exponer sus
contraseñas. Decides añadir una regla de Snort que detecte el envío de contraseñas en claro
(comando PASS) desde la red local al conectarse a servicios de transferencia de ficheros
(FTP) o de consulta de correo (POP3) en máquinas de Internet. Cuando se detecte el patrón
indicado la regla lanzará una alerta con el mensaje Detectado uso de contraseñas en claro.
 2. Desarrollo

Acción Regla
1. Definir una variable para la red local
(RED_LOCAL), otra para la DMZ (RED_DMZ) y ipvar RED_LOCAL [10.5.2.0/24]
otra para todo lo que no sea ni red local ni DMZ ipvar RED_DMZ [10.5.1.0/24]
(RED_EXTERNA). ipvar RED_EXTERNA [10.5.0.0/24]
2. Añadir una regla que detecte el patrón GET
pass.html en la parte de datos de todos los
paquetes HTTP (puerto 80) dirigidos al servidor alert tcp any any -> $RED_DMZ 80 (content:”GET
WEB. Cuando se detecte el patrón indicado la pass.html”;msg:”Detectado Ataque HTTP”;)
regla lanzará una alerta con el mensaje
Detectado Ataque HTTP.

3. Añadir una nueva regla que busque la

cadena pass.html entre los caracteres 5 y 261
de la parte de datos de todos los paquetes alert tcp any any -> $RED_DMZ 80
HTTP (puerto 80) dirigidos al servidor WEB. (content:“pass.html”;offset:5;depth:261;msg:“Detectado Intento
Cuando se detecte el patrón indicado la regla de Acceso al fichero pass.html”;)
lanzará una alerta con el mensaje Detectado
Intento de Acceso al fichero pass.html.

4. Añadir una regla de Snort que detecte el

envío de contraseñas en claro (comando PASS)
desde la red local al conectarse a servicios de
alert $RED_LOCAL any -> $RED_EXTERNA any
transferencia de ficheros (FTP) o de consulta de
(content:“PASS”;pcre:“/^PASS\s[^\n]{100}/smi”;msg: “ Detectado
correo (POP3) en máquinas de Internet.
Cuando se detecte el patrón indicado la regla uso de contraseñas en claro ”;)
lanzará una alerta con el mensaje Detectado
uso de contraseñas en claro.