Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Esta firma tiene como principal desventaja que en redes grandes puede producir<br />
muchos falsos positivos y consumir bastantes recursos del detector de intrusos. Su<br />
afinamiento es costoso en tiempo y requiere analizar todos los casos que surjan<br />
para descartar los falsos positivos.<br />
La ventaja de una firma como esta es que podría descubrir Covert Channels que no<br />
estuvieran generados con la herramienta ptunnel dado que no es específica para<br />
esta herramienta. Este es un ejemplo de firma genérica que puede tener sentido<br />
en entornos críticos.<br />
Otro caso de detección de una herramienta que permite hacer un túnel a través de<br />
DNS sería el siguiente 256 257 :<br />
# detects iodine covert tunnels (over DNS), send feedback on rules to merc [at]<br />
securitywire.com<br />
alert udp any any -> any 53 (content:"|01 00 00 01 00 00 00 00 00 01|"; offset: 2;<br />
depth: 10; content:"|00 00 29 10 00 00 00 80 00 00 00|"; msg: "covert iodine<br />
tunnel request"; threshold: type limit, track by_src, count 1, seconds 300; sid:<br />
5619500; rev: 1;)<br />
alert udp any 53 -> any any (content: "|84 00 00 01 00 01 00 00 00 00|"; offset:<br />
2; depth: 10; content:"|00 00 0a 00 01|"; msg: "covert iodine tunnel response";<br />
threshold: type limit, track by_src, count 1, seconds 300; sid: 5619501; rev: 1;)<br />
Estas reglas son específicas para la herramienta iodine.<br />
Otras firmas de gran utilidad son las que permiten detectar el uso de protocolos en<br />
puertos inusuales. Un ejemplo es el uso del protocolo SSH en puertos que no sea el<br />
habitual (22/TCP). Se aprecia a continuación ciertas firmas de Emerging Threats<br />
que detectan este tipo de uso:<br />
alert tcp any !$SSH_PORTS -> any any (msg:"ET POLICY SSH Server Banner Detected on<br />
Unusual Port"; flowbits:noalert; flow: from_server,established; content:"SSH-";<br />
offset: 0; depth: 4; byte_test:1,>,48,0,relative; byte_test:1,