Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Laboratorio Nº 2
“IDS LINUX”
INTEGRANTES
• Gómez Villanueva Darío Gabriel
• Quispe Mamani Flor Angela
• Sucasaire Castillo Jamilet
IDS LINUX – 2 ptos
OBJETIVOS
EQUIPOS
IMPORTANTE
• La máquina virtual SNORT debe llevar como hostname la primera letra de su nombre junto
con su apellido; seguido del dominio tecsup.edu.pe. Ejemplo: rrodriguez.tecsup.edu.pe
• Para realizar eso apoyarse con el comando hostnamectl set-hostname
• Snort puede ser instalado en diferentes versiones de Linux, el proceso de instalación oficial
puede ser revisado en el portal de Snort.
URL: https://www.snort.org/documents#OfficialDocumentation
• En nuestra máquina virtual (SNORT) debemos instalar todas las dependencias necesarias y
descargar la librería DAR y el instalador de SNORT (descargarlo dentro del directorio
“/root”).
# wget https://www.snort.org/downloads/snort/snort-
2.9.16.1.tar.gz
# wget https://distfiles.macports.org/snort/snort-
2.9.16.1.tar.gz
PARTE 3.- COMPONENTES DE SNORT
• Entrar a la carpeta donde se desempaquetó (usar tar –zxvf “nombre de paquete”) el tar
de DAQ, luego ejecutar el archivo configure.
• Debemos validar que al finalizar se hayan construido los módulos AFPacket DAQ module y
PCAP DAQ module. Adjunte sus propias capturas.
• Luego debemos ingresar el comando autoreconf -f -i. Después, compilar usando el
comando make y make install (para copiar los archivos compilados en los lugares
necesarios).
• Para validar que todo esté conforme, podemos constatar que se hayan generado los
archivos dentro de la ruta “/usr/local/lib/daq”.
• Luego debemos compilar usando el comando make y make install (para copiar los
archivos compilados en los lugares necesarios)
• Para validar la correcta instalación, podemos constatar la versión de snort que tenemos
instalado.
• Prodedemos a crear la carpeta para el log , otra para guardar el archivo de configuración
de Snort y otra para las reglas.
• Prodedemos a comentar las líneas 253, 507-512, 534-535 y 548-651 del archivo
“/etc/snort/snort.conf”.
• Procedemos a crear el archivo local.rules el cual se grabará en “/etc/snort/rules”.
• Procedemos a especificar la ruta del archivo creado (local.rules) en la línea 104 del archivo
“/etc/snort/snort.conf”.
• Para comprobar que todo está bien dentro del archivo de configuración de Snort,
ejecutamos el siguiente comando.
• Debe indicarnos ,al final, que se ha validado correctamente la configuración sin errores.
Para validar que nuestro IDS detecte tráfico UDP, desde la PC cliente puede realizar una
consulta DNS y SNORT debe detector ese tráfico, como se muestra a continuación.
• La siguiente regla detectará todo tráfico ICMP de la LAN hacia internet.
• La siguiente regla detectará todo tráfico UDP (servicio DNS) hacia un servidor que no tenga
como dirección IP la 8.8.8.8
• Podemos detectar paquetes que contengan algún patron específico (patron de paquetes
ICMP).
**Estas reglas sólo las usamos para probar nuestro IDS, Sin embargo tenemos que tener
en cuenta que las reglas que usamos en un entorno real deben incluir patrones de
ataques.
PARTE 8:
• Entramos a la siguiente URL y descargamos las rules para nuestra versión de SNORT.
https://rules.emergingthreats.net/open/
• Desempaquetamos el archivo y copiamos las reglas según nuestros requerimientos.
También se puede descargar rules de la comunidad de SNORT de la web oficial.
Actividades
1. Copiar dos reglas (elegir la que crea conveniente) de los recursos brindados en la parte
anterior, mostrar su funcionamiento y explicar.
emerging-games.rules
Emerginng-exploit.rules
2. Explicar dos reglas (elegir la que crea conveniente) correspondientes a la protección de
algún ataque o vulnerabilidad.
emerging-games.rules
Alerta trafico tcp del home net hacia internet por lo puertos 6112 Dando un mensaje de
alerta " "ET GAMES Battle.net Starcraft login"
Esta regla detecta la conexión hacia un juego en especifico
Emerginng-exploit.rules
Alerta trafico tcp del internet hacia home net por lo puertos 2200, 111, 1900, 2401, ….
Dando un mensaje de alerta "ET EXPLOIT CVS server heap overflow attempt (target BSD)”
Los paquetes deben tener un tamaño MAYOR A 512
OBSERVACIONES Y CONCLUSIONES
OBSERVACIONES
o Se observo que se requieren privilegios locales al momento de monitorear con el
programa SNORT
o También se vio que SNORT nos permite descargar reglas de servicio IDS para
prevenir posibles ataques.
o Se observo que el nivel de análisis muy lento de snort puede ocasionar que omita
algunos paquetes.
o Se observo que mientras mas reglas tenga que comparar el procesamiento de snort
será más lento
CONCLUSIONES
o Se concluye que el uso de las IDS no permite conocer el tipo de trafico que se genera
en nuestra red.
o Se concluye que al examinar los tipos de conexión y el comportamiento de estos
podríamos generar nuevas reglas en nuestro firewall para así poder prevenir
ataques y dar un buen uso a nuestra red.
o IDS no solo sirve para alertar ataques a nuestra red si no para poder alertarnos del
mal uso de esta.
o