You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Alert_host [Bool]: este parámetro activa la notificación de nuevos hosts<br />
descubiertos. Un valor igual a 1 indicará que está activo.<br />
Timing_ knowledgebase [tiempo]: periodo de tiempo por el cual el<br />
preprocesador guardará a disco la base de conocimiento (knowledgebase).<br />
Knowledgebase [archivo]: base de conocimiento. Archivo donde se<br />
guardará el conjunto de las IPs descubiertas y sus puertos.<br />
Training [tiempo]: periodo de tiempo del proceso de aprendizaje. Durante<br />
ese periodo de tiempo toda dirección IP y todo servicio detectado serán<br />
almacenados en la base de datos. Una vez terminado este periodo de<br />
entrenamiento, se notificará cualquier cambio sobre la información<br />
detectada que no coincida con la que se encuentra almacenada en la base<br />
de conocimiento.<br />
Proto [TCP, UDP, TCP/UDP]: protocolo sobre el que trabajará el<br />
preprocesador.<br />
Direccionamiento [IP, SUBNET]: rango de IP bajo nuestro ámbito de<br />
protección.<br />
Un ejemplo de configuración del fichero snort.conf podría ser el siguiente:<br />
preprocessor pasive_port_discover: alert_host 1 \<br />
124<br />
knowledgebase /snort/etc/knowledgebase.txt \<br />
timing_knowledgebase 1800 \<br />
training 2628000 \<br />
proto TCP \<br />
subnets $HOME_NET<br />
Como se observa en el ejemplo, cada 30 minutos el preprocesador guardará en<br />
disco la base de conocimiento, y el periodo de aprendizaje está estimado en un<br />
mes de duración. Así, durante este mes estará aprendiendo y creándose la base de<br />
reconocimiento con todos nuestros host y servicios ofrecidos. A partir de ese mes,<br />
se comenzará a notificar sobre cada servicio nuevo detectado. Un resumen de una<br />
alerta que nos saltaría en nuestro IDS con Snort sería la siguiente: