• Author / Uploaded
• salber

Citation preview

INSTALACIÓN, CONFIGURACIÓN Y FUNCIONAMIENTO DEL IDS SNORT Snort es un Sistema de Detección de Intrusos (IDS), dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración. 1. INSTALACIÓN Para instalar Snort en Linux Mint se debe abrir la terminal, ingresamos con privilegios de administrador y ejecutamos el comando sudo apt-get install snort como se muestra a continuación:

A continuación se comenzarán a descargar e instalar todos los paquetes necesarios, A la pregunta de si deseamos continuar elegimos que Sí.

Posteriormente se solicitará la red y el intervalo de la misma para la cual Snort va a funcionar, Ingresamos la dirección IP asignada a nuestro PC , la máscara de subredes , presionamos OK y esperamos que termine de completar la instalación.

2. CONFIGURACIÓN: Para modificar la configuración con la que Snort se instala de forma predeterminada, Ingresamos el siguiente comando:

- A continuación aparecerá la configuración para controlar el momento en el que el IDS queramos que inicie:

- Configurando qué redes monitorear.

- Configurando qué tipos de mail enviar los resúmenes, etc.

informes

se

pueden entregar,

a qué

e-

Para comprobar que Snort se instaló adecuadamente, lo ejecutamos en modo sniffer, en el que despliega todos los paquetes que llegan a su interfase promiscua de red, es decir, escucha los paquetes aún cuando no vayan dirigidos a él. Para esto ejecutamos el siguiente comando:

Aparecerá información en la que se puede ver cuántos paquetes fueron analizados y cuántos de esos paquetes pertenecen a determinado protocolo

Snort utiliza reglas que identifican el tráfico por puerto, protocolo, contenido o dominio, al romper alguna regla se genera una alarma. Todos los archivos de reglas son incluidos en el archivo general /etc/snort/snort.conf , en el que se encuentran definiciones y variables comunes para todos los demás archivos.

A continuación crearemos un archivo (erika.rules) con nuestras propias reglas con el siguiente comando:

Después de abierto el editor, ingresamos las siguientes reglas, guardamos y salimos:

El campo rev indica que es la primera revisión de ambas reglas, mientras que el campo sid (snort id) debe ser único para cada regla. Las dos primeras reglas permiten generar una alarma y desplegar un texto siempre que cualquier host con cualquier puerto se comunique a cualquier puerto de cualquier otro host y dentro de la información se encuentren las palabras “google” o “youtube”.

La última regla se orienta a detectar pings procedentes de máquinas Windows. Ingresamos el comando: sudo nano /etc/snort/snort.conf y al abrir, editamos la línea ipvar HOME_NET colocando la dirección Ip de nuestro PC, indicándole que por aquí es por donde va a pasar todo el tráfico para que el Snort lo pueda analizar. La línea ipvar EXTERNAL_NET any indica que se va a analizar lo que venga de cualquier otra red externa

Agregamos el archivo erika.rules a la parte final donde se encuentran las otras reglas:

Guardamos y cerramos el archivo. Para mirar todas las reglas que tenemos habilitadas para las advertencias que nos va a dar Snort: cd /etc/snort/rules :

3. FUNCIONAMIENTO Para probar las reglas que se crearon, ejecutamos el comando: Sudo snort –A console –c /etc/snort/rules/erika.rules –ieth0 Para probar todas las reglas, incluyendo las que se crearon con la configuración hecha en el archivo snort.conf se debe ejecutar el siguiente comando: sudo snort -A console -c /etc/snort/snort.conf -A console es para que se identifiquen únicamente las alertas y se desplieguen en la consola. -c es para aplicar sólo las reglas contenidas en el archivo (erika.rules)

A continuación desde una maquina Windows hacemos ping -t a nuestra maquina:

Como el Snort está iniciado y analizando y/o detectando posibles anomalías en la red, escaneos de puertos, etc., las cuales serán señaladas en esta consola; automáticamente detecta que la pc de Windows con la IP 172.16.2.203 está haciendo ping a nuestra maquina.