Cuando se publica un nuevo ataque o vulnerabilidad se suele documentar con todo detalle como
se realiza el ataque o que vulnerabilidad de una aplicación o sistema operativo aprovechan los atacantes
para conseguir sus objetivos.En base a esto es más o menos fácil el desarrollar una firma para snort.
Realizar firmas para snort no es
demasiado complicado pero si requiere de unos conocimientos técnicos que no siempre es fácil
llegar a conseguir y además de un estudio de la vulnerabilidad que se acaba de publicar. Una regla de snort tiene el siguiente aspecto:
alert tcp $EXTERNAL_NET any -> $HOME_NET 5554 (msg:"COMMUNITY VIRUS Dabber PORT overflow attempt port 5554"; flow:to_server,established,no_stream; content:"PORT"; nocase; isdataat:100,relative; pcre:"/^PORT\s[^\n]{100}/smi"; reference:MCAFEE,125300; classtype:attempted-admin; sid:100000110; rev:1;)
Por lo tanto es mucho más fácil subscribirse a la lista de distribución de snort y actualizarlo
con las firmas desarrolladas por otras personas que se dediquen profesionalmente a esto.
Para poder bajar las actualizaciones oficiales debemos crearnos una cuenta en www.snort.org.
Si vamos a la sección de descarga tenemos tres grupos de reglas:
1.- Reglas para "subscriptores" estas si que hay que pagar para poder descargarlas los precios empiezan
en $195 al mes, están pensadas para empresas o personas que necesiten estar permanentemente actualizados,
ofrecen una serie de ventajas que sólo merecerán la pena en función de lo que estemos intentando
proteger.
2.- A continuación tenemos las reglas para usuarios registrados, para esto basta crearse una cuenta
que no nos costará nada y estaremos informados de nuevas reglas que aparezcan pero con cierto retraso.
3.- La siguientes son para usuarios no registrados, como veréis en este caso las reglas están muy desactualizadas
hasta seis meses
Hasta aquí tenemos las reglas desarrolladas por el equipo de soporte de snort.
Al final
hay un grupo de reglas que son las reglas de la comunidad, estas son las que gente de
todo el mundo va desarrollando y envían a snort para que las publiquen.
En cualquiera de los casos, lo que nos bajaremos es un fichero comprimido. Si los descomprimimos tendremos
dos carpetas una "docs" y otra "rules".
Lo que tenemos que hacer es copiar el contenido de cada una de las carpetas y copiarlo en la carpeta
de nuestra instalación de snort del mismo nombre.
De todas las reglas (rules) que tengamos snort sólo verificará aquellas que le digamos en el fichero
snort.conf.
La forma de trabajo de snort es comparar el tráfico que llega contra las firmas que se le han definido
como reglas a comprobar.
En snort.conf al final hay una serie de "includes" que si tienen delante el signo "#" no se tienen
en cuenta, lo que quiere decir que las reglas de esa categoría no se revisarán.
Para que se tengan en cuenta basta quitarles el signo "#".
Cada uno en función de lo que quiera proteger deberá activar unas u otras reglas. Además se deberá realizar
un ajuste porque suelen aparecer falsos positivos, es decir aparecen ataques
que realmente no lo son.
Hay más sitios donde se pueden buscar reglas, por ejemplo en casos urgente en isc.sans.org
aparecen reglas para ataques muy peligrosos.
Es conveniente que realicemos la actualización mínimo una vez al mes de forma habitual y de forma inmediata en el caso de aparición de riesgos muy graves, conviene echar un ojo a isc.sans.org diariamente.
