Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PFC Carlos Cap4 PDF
PFC Carlos Cap4 PDF
1 Introducción
En primer lugar antes de proceder a la instalación y configuración de Snort, se van a
describir las distintas posibilidades para la ubicación del IDS en la red. La colocación de Snort
en la red se debe de realizar en función del tráfico que se quiere vigilar: paquetes entrantes,
salientes, dentro del firewall, fuera del firewall...
• Delante del firewall: De esta forma el IDS puede comprobar todos los ataques
producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de
información en los logs, que puede resultar contraproducente
• Detrás del firewall: Snort colocado detrás del firewall suele ser la ubicación
característica, puesto que permite analizar, todo el trafico que entra en la red (y que
sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall.
Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido
bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la
producida en el caso anterior.
• Combinación de los dos casos: Combinando la colocación del IDS delante y detrás del
firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre
ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas
para implementarlo.
• Firewall/NIDS: Otra opción es usar una única máquina que haga las funciones de
firewall y de NIDS a la vez.
Una vez que se ha seleccionado la ubicación del IDS en nuestra red se procede a su
instalación y configuración. Seguidamente se describe el proceso seguido para ello.
56 Diseño y optimización de un sistema de detección de intrusos híbrido
SELINUX=disabled
SELINUXTYPE=targeted
iptables-save >/etc/sysconfig/iptables
3 Instalación automática
Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas:
intalándolo y compilándolo manualmente o descargando los paquetes ya compilados.
Si se desea instalar Snort y Mysql directamente desde las fuentes, bastará con ejecutar el
comando:
O yum install snort-mysql si se quiere descargar snort para que almacene las alertas en
mysql. Así se descargarán ya los paquetes compilados de snort y mysql y las dependencias
necesarias (libpcap, pcre,..).
Flex
Bison
Libpcap
Pcre
PCRE es una librería que implementa funciones de pattern maching. Para instalar pcre
hay que realizar los siguientes pasos:
• Se descomprime el paquete:
tar xvfz pcre-7.4.tar.gz.
Una vez instaladas las dependencias, para instalar snort hay que seguir los siguientes
pasos:
En el caso de que se quiera compilar Snort para que tenga soporte para MySQL, se
deben de tener en cuenta las siguientes consideraciones:
• Se deben de instalar primero las librerías de MySQL. Para ello se debe de ejecutar:
yum install mysql-devel
5 Configuración
En primer lugar para configurar Snort se van a crear los directorios que necesita para
trabajar:
mkdir /var/log/snort
Capítulo 4. Instalación y configuración de Snort 59
adduser snort
chown snort /var/log/snort
cp /usr/local/bin/snort /usr/sbin
A continuación se deben copiar los ficheros necesarios para poder trabajar con Snort:
• Ficheros de configuración.
cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/
• Firmas:
• Preprocesadores:
Especificación de la red ó redes sobre las cuales actuará el snort. Se trata de definir
el rango de direcciones de nuestra red local.
Configurar los plugins de salida. Snort se puede configurar para que tenga varios
modos de salida. Estos modos de salida son: por pantalla, en ficheros de log, en una base de
datos, con syslog (servidor de eventos del sistema) y con varios formatos como en formato
binario (para exportar datos a otros programas).
Para realizar una configuración básica de Snort, se pueden hacer las siguientes
modificaciones básicas sobre el archivo de configuración de Snort:
Se habilitan las reglas que se quieren utilizar. Para ello se comentan o descomentan las
reglas deseadas. Se recomienda mirar los ficheros de reglas antes de incluirlos, puesto que las
reglas por defecto son muy restrictivas y generan demasiadas alertas. Como mínimo se
desactiva la regla web_misc_rules.
6 Modos de ejecución
Snort es una herramienta que funciona en cuatro modos:
• Sniffer Mode.
• Packet Logger Mode.
• Network Intrussion Detection System (NIDS).
• Inline Mode.
destino 22.
También se puede proceder a instalarlo directamente desde las fuentes. Para ello, se
escribe en línea de comandos:
yum install php
Capítulo 4. Instalación y configuración de Snort 63
• Para instalar el servidor MySQL para que almacene las alertas de snort se deben de
ejecutar los siguientes comandos:
yum install mysql-server
yum install mysql-devel
A continuación se debe de crear en MySQL una base de datos para registrar las alertas
del sistema de detección de intrusos. Para ello, se deben de realizar los siguientes pasos:
• Se puede crear un usuario específico para la base de datos snort, para no usar el usuario
root:
GRANT ALL PRIVILEGES ON snort.*TO snort@localhost IDENTIFIED BY 'test';
Nótese que el login y el password para la base de datos snort deberá ser el mismo que el
especificado en el archivo /etc/snort/snort.conf.
A continuación se crean las tablas para la base de datos de snort, importándolas del
archivo create_mysql que se encuentra en el subdirectorio /schemas de donde se
descomprimieron las fuentes:
Para comprobar que se han creado las tablas correctamente se pueden realizar los
siguientes pasos:
• Se entra en MySql:
mysql -u root –p snort
64 Diseño y optimización de un sistema de detección de intrusos híbrido
• Para ver las tablas que se han creado para nuestra base de datos snort se ejecuta:
show tables;
Para ponerla en funcionamiento bastará con que realizar los siguientes pasos:
cp base-1.3.9.tar.gz /var/www/html
cd /var/www/html
tar xvfz base-1.3.9.tar.gz
mv base-1.3.9 base
Para poder utilizar BASE se necesitan tener instalados los paquetes adodb e
Image_Graph. A continuación se verá cómo se instala cada uno de los paquetes:
Adodb
Adodb (Database Abstraction Library for PHP) es una librería de abstracción de base de
datos para PHP.
Image_Graph
Para instalar el paquete Image_Graph hay que utilizar el instalador pear. Para ello, el
primero paso que hay que realizar es instalar el módulo php-pear. Se puede instalar a través de
go-pear siguiendo los siguientes pasos:
7.4.2.2 Configuración
• El siguiente paso es indicar los datos de la conexión a la base de datos. Para ello se
contestan a cada una de las opciones que se indican:
o Pick a Database Type: MySQL
o Database Name: snort
o Databse host: localhost
o Database port:
o Database User Name: snort
o Database Password: test
Una vez introducidos todos los datos se pulsa el botón “Enviar Consulta” para
continuar.
• Posteriormente tal y como aparece en la figura 4-3, el sistema indica que se deben de
crear las tablas necesarias para que BASE trabaje correctamente. Se debe de pulsar el
botón “Create BASE AG” para crear las tablas de BASE.
• Aparecerá un informe en el que se muestra que las tablas se han creado correctamente
(véase figura 4-4) y se finaliza la instalación.
Una vez que el sistema ha sido configurado correctamente hay que quitar los permisos
de escritura del usuario apache ejecutando el siguiente comando:
Si se desea ver las tablas que se han creado en el proceso de instalación debe ejecutar
los siguientes comandos:
• Y finalmente para ver la estructura final de la base de datos snort (véáse figura 4-6), se
ejecuta:
show tables;
.
Figura 4-6. Tablas de snort con BASE instalado