ManualdeusoeinstalacindeSnortparaUbuntu

Primero, hay que abrir una terminal presionando el botn de Aplicaciones del panel superior del sistemaoperativo,luegoseleccionarAccesoriosyposteriormenteTerminal. Para descargar la versin ms conveniente de Snort para las versiones del software que se tienen instaladas en el equipo as como todas las dependencias necesarias para que Snort funcione correctamente,sedebeejecutarconprivilegiosdeadministradorlainstruccin aptgetinstallsnort

Inmediatamenteselesolicitarlacontraseadeladministradorparaluegoanalizarqupaquetesse necesitandescargareinstalar.Cuandoselepreguntesideseadescargareinstalarlospaquetes,elijaque s.

Enseguidainiciarlainstalacin.EsperehastaqueselepreguntelainterfasederedporlaqueSnortva aescuchar,elijalainterfase(enestecasoeth0)ypresioneEnter.

Posteriormente,selesolicitarlaredyelintervalodelamismaparalacualSnortvaafuncionar, especificandoladireccinIPdelaredylamscaradesubredutilizandoladiagonal.

Unavezintroducidosesosdatos,sloquedaesperarparaquelainstalacindeSnortsecomplete. SepuedemodificarlaconfiguracinconlaqueSnortseinstaladeformapredeterminadayaspoder controlarelmomentoenelqueelIDSdebeiniciarse,quredesmonitorear,qutiposdeinformesse pueden entregar, a qu email enviar los resmenes, etc. Para entrar a este modo avanzado de configuracin,teclearenlaterminal

sudodpkgreconfiguresnort

Porejemplo,enlassiguientesimgenessepreguntasisedeseaqueseenvenlosresmenesauncorreo electrnicoespecfico.

Laconfiguracinrealizadaporestemediosealmacenaenelarchivo/etc/snort/snort.debian.conf ParacomprobarqueSnortseinstaladecuadamenteselepuedeejecutarenmodosniffer,enelque despliegatodoslospaquetesquelleganasuinterfasepromiscuadered,esdecir,escuchalospaquetes ancuandonovayandirigidosal.SedebeejecutarSnortconprivilegiosdeadministrador,agregarlas opcionesvparaquesedesplieguenlosresultadosyiparaagregarlainterfaseporlacualescuchar. sudosnortviwlan0

Ademssepuedenagregarotrosargumentoscomoeparaquesedesplieguelainformacindelacapa deEnlacedeDatosodparaquesedesechelainformacindelacapadeAplicacin. Paraterminarlaejecucinhayquepresionar Ctrl+c Inmediatamenteaparecerunresumencomoelquesemuestraenlasiguientefigura.Enlsepuedever cuntospaquetesfueronanalizadosycuntosdeesospaquetespertenecenadeterminadoprotocolo.

Parapoderdiferenciarentreunpaquetepotencialmentedainoalaredyotroproductodelinocente

trficodedatos,snortutilizareglasocondicionesespecificadasenarchivosubicadoseneldirectorio /etc/snort/rules/. Lasreglaspuedenidentificareltrficoporpuerto,protocolo,contenidoodominio,yalromperalguna regla,snortgeneraunaalarma. Todoslosarchivosdereglassonincluidosenelarchivogeneral /etc/snort/snort.conf,enelquese encuentrandefinicionesyvariablescomunesparatodoslosdemsarchivos. Paranoutilizarlasreglasquevienenpredefinidasensnortytenermscontrolsobrelasmismas, crearemosunarchivo(naranjo.rules)connuestraspropiasreglasconelsiguientecomando sudogedit/etc/snort/rules/naranjo.rules

Despusdequeseabraeleditordetextogedit,agregamoselsiguientetexto,guardamosycerramosel archivo. alerttcpanyany>anyany(msg:"AlguienentraYoutube...";content:"youtube";sid:2021000;rev:1;) alerttcpanyany>anyany(msg:"AlguienentraGOOGLE...";content:"google";sid:2021001;rev:1;)

Conesasreglasdecimosquesegenereunaalarmaysedespliegueuntextosiemprequecualquierhost concualquierpuertosecomuniqueacualquierpuertodecualquierotrohostydentrodelainformacin seencuentrenlaspalabrasgoogleoyoutube. Elcamporevindicaqueeslaprimerarevisindeambasreglas,mientrasqueelcamposid(snortid) debesernicoparacadaregla. Posteriormente,hayqueagregarunareferenciaalarchivosnort.confdelarchivoqueseacabadecrear. Paraabrirelarchivosnort.confhayqueteclearenlaterminalelcomando sudogedit/etc/snort/snort.conf

Seabrirelarchivoeneleditordetextogedit.Dirigirsecasialfinaldelarchivo,dondeseagreganlos demsarchivosyagregarelsiguientetextoenunanuevalnea,talcomolomuestralaimagen. include$RULE_PATH/naranjo.rules

Finalmenteguardarycerrarelarchivo. Paraprobarlasreglasqueacabamosdecrear,introduzcaelcomando sudosnortAconsolec/etc/snort/rules/naranjo.rulesiwlan0

Elargumento Aconsole esparaqueseidentifiquennicamentelasalertasysedesplieguenenla consola.cesparaaplicarslolasreglascontenidasenelarchivo(enestecasonaranjo.rules). Elsiguientescreenshotmuestraaotracomputadora,diferentedelservidor,accesandoayoutube.

EnlassiguientesdosimgenessevenlassalidasdeSnort,losmensajesquesedespliegancuando alguienaccesaagoogleoyouyubeyelresumenalfinaldelproceso,indicandoqueentotalhubieron28 alertas.

Enesteejemploutilizamosunarchivoconreglasquecreamosnosotrosmismos,perosepuedenutilizar losdemsarchivosparadetectarataquesdevirus,tormentasdeping,escaneodepuertos,sesiones telnet,etc.