qwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqw

ertyuiopasdfghjklzxcvbnmqwer

tyuiopasdfghjklzxcvbnmqwerty

uiopasdfghjklzxcvbnmqwertyui

opasdfghjklzxcvbnmqwertyuiop

asdfghjklzxcvbnmqwertyuiopas

dfghjklzxcvbnmqwertyuiopasdf

ghjklzxcvbnmqwertyuiopasdfgh

jklzxcvbnmqwertyuiopasdfghjkl

zxcvbnmqwertyuiopasdfghjklzx

cvbnmqwertyuiopasdfghjklzxcv

bnmqwertyuiopasdfghjklzxcvbn

mqwertyuiopasdfghjklzxcvbnm

qwertyuiopasdfghjklzxcvbnmq

wertyuiopasdfghjklzxcvbnmqw

ertyuiopasdfghjklzxcvbnmrtyui

Practica Snort en Linux

Seguridad Trimestre 1 2ºASIR

Débora García García

Seguridad Trimestre 1 Débora García García

1

Índice Introducción ............................................................................................................................. 2

Instalación Lamp Server ............................................................................................................ 2

Crear la base de datos de Snort ................................................................................................. 3

Instalación de Snort .................................................................................................................. 3

Configuración de Snort ............................................................................................................. 4

Instalación de ACID ................................................................................................................... 7

Configuración de Acid Base ....................................................................................................... 8

Comprobación test IDS ............................................................................................................. 9

Seguridad Trimestre 1 Débora García García

2

Introducción Un sistema de detección de intrusos (IDS) inspecciona toda la actividad de red entrante y

saliente e identifica patrones sospechosos que pueden indicar una red o un ataque al sistema

de una persona que intente entrar o comprometer un sistema.

Un IDS se diferencia de un cortafuegos en que el IDS es un servidor de seguridad que

inspecciona el tráfico y las paradas que basado en las reglas especificado por el usuario. Un

IDS por otro lado, inspecciona y evalúa el tráfico para determinar si es sospechoso. El IDS

puede generar alertas basadas en el análisis.

Existen varios lugares donde un IDS se puede implementar. Un escenario por ejemplo

podría ser un IDS en la parte delantera del firewall y un IDS detrás del firewall. Esto le

permitirá saber lo que el tráfico sospechoso que viene en la red de área extensa (WAN) y lo

que el tráfico sospechoso que a través del firewall.

Para facilitar la visualización de los datos relacionados con Snort, vamos a instalar también

un front-end basado en web. La consola de análisis de detección de intrusiones (ACID)

servirá para este propósito.

Instalación Lamp Server Antes de instalar Snort tenemos que instalar el paquete de LAMP (Linux, Apache, Mysql, Php),

es un conjunto de subsistemas de software necesarios para configurar sitios web o servidores

dinámicos.

Apt-get install –y tasksel

Tasksel

Selecciona LAMP server

Contraseña de Mysql

Seguridad Trimestre 1 Débora García García

3

Ahora probamos que funciona apache, desde el navegador:

Crear la base de datos de Snort Para ello accedemos a mysql:

Mysql –u root –p

Creamos la base de datos:

Ahora tenemos que dar privilegios al usuario snort:

Guardamos los cambios:

Instalación de Snort Apt-get install snort-mysql

Seguridad Trimestre 1 Débora García García

4

Configuración de Snort Ahora tenemos que volcar el contenido de las tablas de mysql a mysql. Actualizando la base de

datos con la estructura de la tabla snort, vamos a la ruta:

cd /usr/share/doc/snort-mysql

Luego ejecutamos zcat create_mysql.gz | mysql –u usuario–p usuario

Vamos a ver que las tablas se han creado:

Seguridad Trimestre 1 Débora García García

5

Modificamos el archivo de configuración de snort, en el incluimos información específica de

mysql:

Esta línea se encuetra en /etc/snort/snort.conf. Lo que hace es colocar un comentario enfrente

de la salida para el registro y añade la línea de salida para la base de datos.

Tenemos que quitar un archivo de la configuración de la base de datos snort:

Iniciamos el servicio Snort:

/etc/init.d/snort start

Tenemos un error, vamos al archivo “/etc/snort/snort.conf” y vamos a copiar la línea que

contiene datos importantes de la base de datos y luego la borramos de este archivo:

Seguridad Trimestre 1 Débora García García

6

Y la pegamos en el archivo “database.conf”, está en el mismo directorio, sustituye por la línea

que viene con unos datos por defecto:

Volvemos a iniciar el servicio Snort:

/etc/init.d/snort start

Vamos a ver en el log que el archivo funciona:

Seguridad Trimestre 1 Débora García García

7

Instalación de ACID Este servicio es una interfaz para poder visualizar los registros de Snort almacenados en la base

de datos.

Apt-get –y install acidbase

La contraseña ha de ser la misma tanto para el usuario que creamos anteriormente de la base

de datos como en esta configuración de Acidbase, porque si no es la misma tendríamos que

modificaciones en los archivos de acidbase. (database.php y base_conf.php)

Seguridad Trimestre 1 Débora García García

8

Configuración de Acid Base Nos dirigimos al navegador: localhost/acidbase

Hacer click setup page.

Hacer click Create Base AG

Seguridad Trimestre 1 Débora García García

9

Con este paso hemos creado tablas adicionales en la base de datos Snort pero con

funcionalidad de acidbase.

*Si queremos por ejemplo filtrar ciertas IP’s tendríamos que configurar el archivo

“/etc/acidbase/apache.conf”, después reinicias el servidor apache para aplicar estos cambios.

Comprobación test IDS Vamos a probar Snort y Acidbase realizando un escaneo de puertos. Instalamos:

Apt-get install nmap

Los ataques a nuestra red podrán hacerse de la siguiente manera:

(Claro que nosotros el ataque lo haremos entre dos máquinas virtuales)

Seguridad Trimestre 1 Débora García García

10

Así se ve por la interfaz.