Estoy empezando a estudiar las reglas de Snort y el maestro nos da los siguientes ejercicios:
Un servidor en el que está instalado Snort está monitoreando todo el tráfico en la subred 172.16.0.0 con la máscara 255.255.0.0. De ahora en adelante, vamos a referirnos a esta subred como subred_A. El estudiante debe escribir las reglas de Snort que permiten registrar los siguientes eventos:
-
Ingrese una regla que intente buscar la palabra "HTTP" entre los caracteres 4 y 40 de la parte de datos de cualquier paquete TCP que se origine en la subred_A y vaya a una dirección que no sea parte de sub_A. En el archivo de registro, el registro debe contener el mensaje "Detectado por HTTP".
-
Cree dos reglas para detectar cuándo alguien intenta acceder a una máquina ubicada en la subred_A cuya dirección IP es 172.16.1.3 al puerto 137 y los protocolos UDP y TCP. Cuando se detecta el patrón indicado, la regla debe enviar una alerta con el mensaje "Intentar acceder al puerto 137 y al protocolo".
-
Configura una única regla de Snort que permite capturar las contraseñas utilizadas (comando PASS) al conectarse a servicios de transferencia de archivos (FTP) o consulta de correo (POP3) desde la máquina con la dirección IP 172.16.1.3 ubicada en la subred_A. Cuando se detecta el patrón indicado, la regla debería lanzar una alerta con el mensaje "Se detectó la contraseña".
Estas son mis respuestas:
1.- alert tcp 172.16.0.0/16 any -> ![ 172.16.0.0/16] any \
(logto:logto_log.txt; content:"HTTP"; offset: 4; depth: 40; msg: "HTTP Detected";)
2.- alert tcp any any -> 172.16.1.3 137 \
(msg: "Attempt to access port 137 and protocol TCP";)
alert udp any any -> 172.16.1.3 137 \
(msg: "Attempt to access port 137 and protocol UDP";)
3.- alert tcp 172.16.1.3 any -> any 110,995,20:21 \
(msg:"Password Detected"; content:"PASS";)
¿Estarías de acuerdo conmigo?