Upload
garciadebora
View
580
Download
1
Embed Size (px)
Citation preview
qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwer
tyuiopasdfghjklzxcvbnmqwerty
uiopasdfghjklzxcvbnmqwertyui
opasdfghjklzxcvbnmqwertyuiop
asdfghjklzxcvbnmqwertyuiopas
dfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjkl
zxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcvbnm
qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmrtyui
Practica Snort en Linux
Seguridad Trimestre 1 2ºASIR
Débora García García
Seguridad Trimestre 1 Débora García García
1
Índice Introducción ............................................................................................................................. 2
Instalación Lamp Server ............................................................................................................ 2
Crear la base de datos de Snort ................................................................................................. 3
Instalación de Snort .................................................................................................................. 3
Configuración de Snort ............................................................................................................. 4
Instalación de ACID ................................................................................................................... 7
Configuración de Acid Base ....................................................................................................... 8
Comprobación test IDS ............................................................................................................. 9
Seguridad Trimestre 1 Débora García García
2
Introducción Un sistema de detección de intrusos (IDS) inspecciona toda la actividad de red entrante y
saliente e identifica patrones sospechosos que pueden indicar una red o un ataque al sistema
de una persona que intente entrar o comprometer un sistema.
Un IDS se diferencia de un cortafuegos en que el IDS es un servidor de seguridad que
inspecciona el tráfico y las paradas que basado en las reglas especificado por el usuario. Un
IDS por otro lado, inspecciona y evalúa el tráfico para determinar si es sospechoso. El IDS
puede generar alertas basadas en el análisis.
Existen varios lugares donde un IDS se puede implementar. Un escenario por ejemplo
podría ser un IDS en la parte delantera del firewall y un IDS detrás del firewall. Esto le
permitirá saber lo que el tráfico sospechoso que viene en la red de área extensa (WAN) y lo
que el tráfico sospechoso que a través del firewall.
Para facilitar la visualización de los datos relacionados con Snort, vamos a instalar también
un front-end basado en web. La consola de análisis de detección de intrusiones (ACID)
servirá para este propósito.
Instalación Lamp Server Antes de instalar Snort tenemos que instalar el paquete de LAMP (Linux, Apache, Mysql, Php),
es un conjunto de subsistemas de software necesarios para configurar sitios web o servidores
dinámicos.
Apt-get install –y tasksel
Tasksel
Selecciona LAMP server
Contraseña de Mysql
Seguridad Trimestre 1 Débora García García
3
Ahora probamos que funciona apache, desde el navegador:
Crear la base de datos de Snort Para ello accedemos a mysql:
Mysql –u root –p
Creamos la base de datos:
Ahora tenemos que dar privilegios al usuario snort:
Guardamos los cambios:
Instalación de Snort Apt-get install snort-mysql
Seguridad Trimestre 1 Débora García García
4
Configuración de Snort Ahora tenemos que volcar el contenido de las tablas de mysql a mysql. Actualizando la base de
datos con la estructura de la tabla snort, vamos a la ruta:
cd /usr/share/doc/snort-mysql
Luego ejecutamos zcat create_mysql.gz | mysql –u usuario–p usuario
Vamos a ver que las tablas se han creado:
Seguridad Trimestre 1 Débora García García
5
Modificamos el archivo de configuración de snort, en el incluimos información específica de
mysql:
Esta línea se encuetra en /etc/snort/snort.conf. Lo que hace es colocar un comentario enfrente
de la salida para el registro y añade la línea de salida para la base de datos.
Tenemos que quitar un archivo de la configuración de la base de datos snort:
Iniciamos el servicio Snort:
/etc/init.d/snort start
Tenemos un error, vamos al archivo “/etc/snort/snort.conf” y vamos a copiar la línea que
contiene datos importantes de la base de datos y luego la borramos de este archivo:
Seguridad Trimestre 1 Débora García García
6
Y la pegamos en el archivo “database.conf”, está en el mismo directorio, sustituye por la línea
que viene con unos datos por defecto:
Volvemos a iniciar el servicio Snort:
/etc/init.d/snort start
Vamos a ver en el log que el archivo funciona:
Seguridad Trimestre 1 Débora García García
7
Instalación de ACID Este servicio es una interfaz para poder visualizar los registros de Snort almacenados en la base
de datos.
Apt-get –y install acidbase
La contraseña ha de ser la misma tanto para el usuario que creamos anteriormente de la base
de datos como en esta configuración de Acidbase, porque si no es la misma tendríamos que
modificaciones en los archivos de acidbase. (database.php y base_conf.php)
Seguridad Trimestre 1 Débora García García
8
Configuración de Acid Base Nos dirigimos al navegador: localhost/acidbase
Hacer click setup page.
Hacer click Create Base AG
Seguridad Trimestre 1 Débora García García
9
Con este paso hemos creado tablas adicionales en la base de datos Snort pero con
funcionalidad de acidbase.
*Si queremos por ejemplo filtrar ciertas IP’s tendríamos que configurar el archivo
“/etc/acidbase/apache.conf”, después reinicias el servidor apache para aplicar estos cambios.
Comprobación test IDS Vamos a probar Snort y Acidbase realizando un escaneo de puertos. Instalamos:
Apt-get install nmap
Los ataques a nuestra red podrán hacerse de la siguiente manera:
(Claro que nosotros el ataque lo haremos entre dos máquinas virtuales)
Seguridad Trimestre 1 Débora García García
10
Así se ve por la interfaz.