Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PFC Carlos Cap4 PDF
PFC Carlos Cap4 PDF
Introduccin
Delante del firewall: De esta forma el IDS puede comprobar todos los ataques
producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de
informacin en los logs, que puede resultar contraproducente
Detrs del firewall: Snort colocado detrs del firewall suele ser la ubicacin
caracterstica, puesto que permite analizar, todo el trafico que entra en la red (y que
sobrepasa el firewall). Adems, permite vigilar el correcto funcionamiento del firewall.
Monitoriza nicamente el trfico que haya entrado realmente en la red y que no ha sido
bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la
producida en el caso anterior.
Combinacin de los dos casos: Combinando la colocacin del IDS delante y detrs del
firewall el control que se ejerce es mayor. Se puede efectuar una correlacin entre
ataques detectados en un lado y otro. El inconveniente es que se necesitan dos mquinas
para implementarlo.
Firewall/NIDS: Otra opcin es usar una nica mquina que haga las funciones de
firewall y de NIDS a la vez.
Una vez que se ha seleccionado la ubicacin del IDS en nuestra red se procede a su
instalacin y configuracin. Seguidamente se describe el proceso seguido para ello.
56
Instalacin automtica
57
Hay que tener en cuenta que si se pretende realizar la instalacin de forma manual, se
debe de instalar en primer lugar mysql, para indicarle a Snort que almacene sus alertas en dicha
base de datos.
Antes de realizar la instalacin de Snort se deben de instalar las dependencias: gcc-c++.
Para instalar el compilador de forma automtica se debe ejecutar el siguiente comando:
yum install gcc-c++
Flex
Flex (www.gnu.org/software/flex) es un rpido generador analizador lxico. Es una
herramienta para generar programas que realizan concordancia de patrones en el texto. Flex es
un servicio gratuito (pero no-GNU) de la implementacin del programa lex de Unix.
Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:
yum install flex
Bison
Bison (www.gnu.org/software/bison) es un generador analizador de propsito general
que convierte una gramtica de libre contexto en un LALR o un analizador GLR para esta
gramtica.
Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:
yum install boison
Libpcap
Libcap es una librera de programacin de paquetes de TCP/IP requerida en la mayora
de programas que analizan y monitorizan el trfico en una red. Para instalar libpcap hay que
realizar los siguientes pasos:
En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz
www.tcpdump.org
de Internet:
58
Pcre
PCRE es una librera que implementa funciones de pattern maching. Para instalar pcre
hay que realizar los siguientes pasos:
Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org)
Se descomprime el paquete:
tar xvfz pcre-7.4.tar.gz.
pasos:
Se descarga el paquete snort-2.8.0.1.tar.gz de Internet (www.snort.org)
En el caso de que se quiera compilar Snort para que tenga soporte para MySQL, se
deben de tener en cuenta las siguientes consideraciones:
Se deben de instalar primero las libreras de MySQL. Para ello se debe de ejecutar:
yum install mysql-devel
Configuracin
En primer lugar para configurar Snort se van a crear los directorios que necesita para
trabajar:
59
adduser snort
chown snort /var/log/snort
Ficheros de configuracin.
Se copia el fichero snort.conf en /etc/snort/ de la siguiente forma:
cp /root/snort-2.8.0.1/etc/snort.conf /etc/snort/
Se copia el fichero unicode.map en /etc/snort ejecutando:
cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/
Se copia el script de inicio del servidor:
cp /root/snort-2.8.0.1/rpm/snortd /etc/init.d/
chmod 755 /etc/init.d/snortd
Firmas:
Preprocesadores:
o
60
Configurar los plugins de salida. Snort se puede configurar para que tenga varios
modos de salida. Estos modos de salida son: por pantalla, en ficheros de log, en una base de
datos, con syslog (servidor de eventos del sistema) y con varios formatos como en formato
binario (para exportar datos a otros programas).
Directivas de configuracin. Las directivas de configuracin definen comandos y otras
opciones de configuracin de snort. El archivo snort.conf incluye el archivo classification.config
(define las clasificaciones de las reglas) y el fichero reference.config (define sistemas de
identificacin de ataque externos).
Personalizar el conjunto de reglas. Snort usa un lenguaje de descripcin de reglas
simple y flexible para describir cmo se deben de manejar los datos.
Para realizar una configuracin bsica de Snort, se pueden hacer las siguientes
modificaciones bsicas sobre el archivo de configuracin de Snort:
Se especifica el rango de direcciones de nuestra red interna modificando la variable
HOME_NET:
var HOME_NET <Direccin de red> o ANY.
Se habilitan las reglas que se quieren utilizar. Para ello se comentan o descomentan las
reglas deseadas. Se recomienda mirar los ficheros de reglas antes de incluirlos, puesto que las
reglas por defecto son muy restrictivas y generan demasiadas alertas. Como mnimo se
desactiva la regla web_misc_rules.
Se guarda el archivo de configuracin snort.conf.
Modos de ejecucin
Snort es una herramienta que funciona en cuatro modos:
Sniffer Mode.
Packet Logger Mode.
Network Intrussion Detection System (NIDS).
Inline Mode.
Parmetro Modo
-v
Sniffer
-l
Packet
loger
-c
NIDS
-d
-e
-b
-L
-r
-h
-i
(and / or /
not) host
src net
(dst / src)
port
61
Ejemplo
snort -v
snort l /etc/snort/log
snort dev c
/etc/snort/snort.conf
Loguea los paquetes de red,
especificndole la ruta del
fichero de configuracin de
snort.
62
destino 22.
Un front-end permite recolectar los datos e interacturar con un el sistema de una forma
fcil y cmoda a travs de una pgina web. Para la realizacin de este proyecto se ha instalado
BASE como front-end, de manera que nos facilitara la visualizacin de las alertas en el sistema.
Para la instalacin de BASE se necesitar instalar y configurar previamente otras
herramientas como el servidor web Apache, el soporte PHP para dicho servidor y Mysql para
almacenar las alertas generadas por Snort.
7.1
Instalacin de Apache
7.2
Instalacin de PHP
63
7.3
Instalacin de MySQL
Para instalar el servidor MySQL para que almacene las alertas de snort se deben de
ejecutar los siguientes comandos:
yum install mysql-server
yum install mysql-devel
A continuacin se debe de crear en MySQL una base de datos para registrar las alertas
del sistema de deteccin de intrusos. Para ello, se deben de realizar los siguientes pasos:
Se puede crear un usuario especfico para la base de datos snort, para no usar el usuario
root:
GRANT ALL PRIVILEGES ON snort.*TO snort@localhost IDENTIFIED BY 'test';
Ntese que el login y el password para la base de datos snort deber ser el mismo que el
especificado en el archivo /etc/snort/snort.conf.
A continuacin se crean las tablas para la base de datos de snort, importndolas del
archivo create_mysql que se encuentra en el subdirectorio /schemas de donde se
descomprimieron las fuentes:
Para comprobar que se han creado las tablas correctamente se pueden realizar los
siguientes pasos:
Se entra en MySql:
mysql -u root p snort
64
Para ver las tablas que se han creado para nuestra base de datos snort se ejecuta:
show tables;
La figura 4-1 muestra las tablas de Snort que se han creado.
7.4
BASE
65
66
El siguiente paso es indicar los datos de la conexin a la base de datos. Para ello se
contestan a cada una de las opciones que se indican:
o Pick a Database Type: MySQL
o Database Name: snort
o Databse host: localhost
o Database port:
o Database User Name: snort
o Database Password: test
Una vez introducidos todos los datos se pulsa el botn Enviar Consulta para
continuar.
67
Posteriormente tal y como aparece en la figura 4-3, el sistema indica que se deben de
crear las tablas necesarias para que BASE trabaje correctamente. Se debe de pulsar el
botn Create BASE AG para crear las tablas de BASE.
Aparecer un informe en el que se muestra que las tablas se han creado correctamente
(vase figura 4-4) y se finaliza la instalacin.
68
Y finalmente para ver la estructura final de la base de datos snort (vse figura 4-6), se
ejecuta:
show tables;
.
Figura 4-6. Tablas de snort con BASE instalado