Contenido
Curso de Snort y la detección de intrusos de red
Introducción:
Snort es la herramienta de facto para realizar tareas de detección de intrusos en una red, pero puede ser usado también como “packet logger” o un “packet sniffer”. Según la wikipedia un NDIS “busca detectar anomalías que inicien un riesgo potencial, tales como ataques de denegación de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el tráfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula.”
Objetivo:
Este curso presenta una introducción a la administración de Snort, cubre instalación, configuración y uso de las herramientas de monitoreo y análisis.
Versión de Snort a trabajar: Snort v2.4
Al finalizar el curso los estudiantes deben estar en capacidad de:
Entender la arquitectura de Snort
Instalar Snort en Linux y Windows
Configurar Snort de acuerdo a sus requerimientos de seguridad
Configurar las herramientas de reporte
Interpretar los reportes de intrusión
Mantener actualizada la base de firmas de Snort
Orientado a:
Este curso esta orientado a profesionales que necesiten desempeñar labores de auditoría de seguridad en infraestructura de Internet o de red, en particular a:
Oficiales de seguridad
Administradores de Firewall
Administradores de red
Webmasters
Arquitectos de infraestructura
Profesionales relacionados con el área
Requisito:
Los alumnos deben tener:
Conocimientos de TCP/IP y redes
Experiencia en administración de infraestructura de Internet, ej: websites, firewall, proxy
Experiencia mínima en administración de seguridad en redes
I. Algunos tópicos de seguridad
1. Tipos de error estadístico
2. Escaneo de puertos
3. Algunos tipos de ataques
3.1. Fragmentación IP
3.2. Inyección de SQL
3.3. Otros tipos de ataques
II. Introducción a los Sistemas de detección de intrusos (IDS) y snort
1. Sistemas de detección de intrusos
1.1. Sistemas de detección de intrusos de red (NIDS)
1.2. Sistemas de detección de intrusos basado en host (HIDS)
1.3. Sistemas de detección de intrusos distribuidos (DIDS)
1.4. Sistemas de prevención de intrusos (IPS)
2. NIDS en la arquitectura de red
3. Vulnerabilidades de Snort
4. Historia y versiones de Snort
III. Snort básico
1. Funcionalidades de Snort
1.1. Snort como “packet sniffer”
1.2. Snort como “packet logger”
2. Instalando Snort
2.1. Instalación desde código fuente
2.2. Instalación desde RPMS
2.3. Instalación en sistemas Windows
3. Arquitectura de Snort
3.1. Motor de decodificación de paquetes
3.2. Preprocesador de plug-ins
3.3. Motor de detección y plug-ins de detección
3.4. Plug-ins de salida
4. Configuración de Snort
LABORATORIO 1
IV. Snort avanzado
1. Reglas de Snort
2. Preprocesadores
2.1. Preprocesadores para monitoreo de TCP/IP
2.2. Preprocesadores para decodificar y normalizar protocolos
2.3. Preprocesadores para detección basada en anomalías o no-reglas
2.4. Preprocesadores experimentales
3. Plug-ins de salida
V. Herramientas de análisis de datos y exploración
1. Webmin
2. SnortAlog
3. ACID
4. IDScenter
5. SnortCenter
VI. Tópicos de administración
1. Manteniendo actualizadas las reglas
2. Configuración para múltiples segmentos de red
LABORATORIO 2
