Manual Snort

8
Manual de uso e instalaci ó n de Snort para Ubuntu Primero, hay que abrir una terminal presionando el botón de  Aplicaciones del panel superior del sistema operativo, luego seleccionar  Accesorios y posteriormente Terminal . Para descargar la versión más conveniente de Snort para las versiones del software que se tienen ins tal adas en el equ ipo así como todas las dependen cias necesarias para que Snort funcione correctamente, se debe ejecutar con privilegios de administrador la instrucci ón apt-get install snort Inmediatamente se le solicitará la contraseña del administrador para luego analizar qué paquetes se necesitan descargar e instalar. Cuando se le pregunte si desea descargar e instalar los paquetes, elija que sí . En seguida iniciará la instalación. Espere hasta que se le pregunte la interfase de red por la que Snort va a escuchar, elija la interfase (en este caso eth0) y presione Enter.

Transcript of Manual Snort

Page 1: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 1/8

Manual de uso e instalaci ó n de Snort para Ubuntu 

Primero, hay que abrir una terminal presionando el botón de  Aplicaciones del panel superior del

sistema operativo, luego seleccionar Accesorios y posteriormente Terminal .

Para descargar la versión más conveniente de Snort para las versiones del software que se tienen

instaladas en el equipo así  como todas las dependencias necesarias para que Snort funcione

correctamente, se debe ejecutar con privilegios de administrador la instrucción

apt-get install snort

Inmediatamente se le solicitará la contraseña del administrador para luego analizar qué paquetes se

necesitan descargar e instalar. Cuando se le pregunte si desea descargar e instalar los paquetes, elija que

sí .

En seguida iniciará la instalación. Espere hasta que se le pregunte la interfase de red por la que Snort va

a escuchar, elija la interfase (en este caso eth0) y presione Enter.

Page 2: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 2/8

Posteriormente, se le solicitará la red y el intervalo de la misma para la cual Snort va a funcionar,

especificando la dirección IP de la red y la máscara de subred utilizando la diagonal.

Una vez introducidos esos datos, sólo queda esperar para que la instalación de Snort se complete.

Se puede modificar la configuración con la que Snort se instala de forma predeterminada y as í  poder

controlar el momento en el que el IDS debe iniciarse, qué redes monitorear, qué tipos de informes se

pueden entregar, a qué e-mail enviar los resúmenes, etc. Para entrar a este modo avanzado de

configuración, teclear en la terminal

Page 3: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 3/8

sudo dpkg-reconfigure snort

Por ejemplo, en las siguientes imágenes se pregunta si se desea que se enví en los resúmenes a un correo

electrónico especí fico.

La configuración realizada por este medio se almacena en el archivo /etc/snort/snort.debian.conf 

Para comprobar que Snort se instaló adecuadamente se le puede ejecutar en modo sniffer, en el que

despliega todos los paquetes que llegan a su interfase promiscua de red, es decir, escucha los paquetes

aún cuando no vayan dirigidos a él. Se debe ejecutar Snort con privilegios de administrador, agregar las

opciones -v para que se desplieguen los resultados y -i para agregar la interfase por la cual escuchar.

sudo snort -v -i wlan0

Page 4: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 4/8

Además se pueden agregar otros argumentos como -e para que se despliegue la información de la capa

de Enlace de Datos o -d para que se deseche la información de la capa de Aplicación.

Para terminar la ejecución hay que presionar

Ctrl + c

Inmediatamente aparecerá un resumen como el que se muestra en la siguiente figura. En él se puede ver

cuántos paquetes fueron analizados y cuántos de esos paquetes pertenecen a determinado protocolo.

Para poder diferenciar entre un paquete potencialmente dañino a la red y otro producto del inocente

Page 5: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 5/8

tráfico de datos, snort utiliza reglas o condiciones especificadas en archivos ubicados en el directorio

 /etc/snort/rules/ .

Las reglas pueden identificar el tráfico por puerto, protocolo, contenido o dominio, y al romper alguna

regla, snort genera una alarma.

Todos los archivos de reglas son incluidos en el archivo general  /etc/snort/snort.conf , en el que se

encuentran definiciones y variables comunes para todos los demás archivos.

Para no utilizar las reglas que vienen predefinidas en snort y tener más control sobre las mismas,crearemos un archivo (naranjo.rules) con nuestras propias reglas con el siguiente comando

sudo gedit /etc/snort/rules/naranjo.rules

Después de que se abra el editor de texto gedit, agregamos el siguiente texto, guardamos y cerramos el

archivo.

alert tcp any any -> any any (msg:"Alguien entró a Youtube...";content:"youtube";sid:2021000;rev:1;)

alert tcp any any -> any any (msg:"Alguien entró a GOOGLE...";content:"google";sid:2021001;rev:1;)

Con esas reglas decimos que se genere una alarma y se despliegue un texto siempre que cualquier host

con cualquier puerto se comunique a cualquier puerto de cualquier otro host y dentro de la informaciónse encuentren las palabras “google” o “youtube”.

El campo rev indica que es la primera revisión de ambas reglas, mientras que el campo  sid (snort id)

debe ser único para cada regla.

Posteriormente, hay que agregar una referencia al archivo snort.conf del archivo que se acaba de crear.

Para abrir el archivo snort.conf hay que teclear en la terminal el comando

sudo gedit /etc/snort/snort.conf 

Se abrirá el archivo en el editor de texto gedit. Dirigirse casi al final del archivo, donde se agregan losdemás archivos y agregar el siguiente texto en una nueva lí nea, tal como lo muestra la imagen.

include $RULE_PATH/naranjo.rules

Page 6: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 6/8

Finalmente guardar y cerrar el archivo.

Para probar las reglas que acabamos de crear, introduzca el comando

sudo snort -A console -c /etc/snort/rules/naranjo.rules -i wlan0

El argumento -A console es para que se identifiquen únicamente las alertas y se desplieguen en la

consola. -c es para aplicar sólo las reglas contenidas en el archivo (en este caso naranjo.rules).

El siguiente screenshot muestra a otra computadora, diferente del servidor, accesando a youtube.

Page 7: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 7/8

En las siguientes dos imágenes se ven las salidas de Snort, los mensajes que se despliegan cuando

alguien accesa a google o youyube y el resumen al final del proceso, indicando que en total hubieron 28

alertas.

Page 8: Manual Snort

8/8/2019 Manual Snort

http://slidepdf.com/reader/full/manual-snort 8/8

En este ejemplo utilizamos un archivo con reglas que creamos nosotros mismos, pero se pueden utilizar

los demás archivos para detectar ataques de virus, tormentas de ping, escaneo de puertos, sesiones

telnet, etc.