SlideShare ist ein Scribd-Unternehmen logo

Snort_IDS

Als PPTX, PDF herunterladen
Natalia Martinez Ramos
Natalia Martinez Ramos

Descripción, Instalación y configuración de Snort

Internet
1 von 23
ADMINISTRACIÓN DE REDES INTEGRANTES: • Martínez Ramos Natalia 11360619 • ValenciaCid Mireya 11360660 INSTITUTO TECNOLÓGICO DETEHUACÁN INGENIERÍA EN SISTEMAS COMPUTACIONALES
 SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
 Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
 La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
 Esquema del funcionamiento del decodificador de paquetes de Snort.
 El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
 El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
 1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
 1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
 Especificación de la interfaz de red que Snort escuchará
 Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
 Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
 1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
 3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
 5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
 7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
 Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
 Al terminar la ejecución del comando, se muestra un resumen de la actividad
Snort_IDS

Empfohlen

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.JOSE ALFREDO RAMIREZ PRADA
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Sniffers
SniffersSniffers
SnifferstexEduardo
 
Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewallsseguridadelinux
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 
Snort
SnortSnort
SnortTensor
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 

Empfohlen

Ataque por sniffing.
Ataque por sniffing.Ataque por sniffing.
Ataque por sniffing.JOSE ALFREDO RAMIREZ PRADA
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Sniffers
SniffersSniffers
SnifferstexEduardo
 
Topologías avanzadas de firewalls
Topologías avanzadas de firewallsTopologías avanzadas de firewalls
Topologías avanzadas de firewallsseguridadelinux
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 
Snort
SnortSnort
SnortTensor
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Curso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesCurso Avanzado Seguridad Redes
Curso Avanzado Seguridad RedesAntonio Durán
 
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Francisco Ribadas
 
Sniffer
SnifferSniffer
SnifferMaura Camila Blanco
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmapCarlos Antonio Leal Saballos
 
dmz definicion
dmz definiciondmz definicion
dmz definicionNicolas Notempus
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZAula Campus
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewallsJuan Antonio Gil Martínez-Abarca
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
Firewall hw
Firewall hwFirewall hw
Firewall hwJosé Luis Andújar
 
Redes ,,,,
Redes ,,,,Redes ,,,,
Redes ,,,,Noe Ramos
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)xavazquez
 
Nmap
NmapNmap
NmapMeztli Valeriano Orozco
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7ElisabetBlanco
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2Nelson Samaniego
 
Análisis de Monitoreo
Análisis de MonitoreoAnálisis de Monitoreo
Análisis de MonitoreoMarco Mendoza López
 
Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en redhugo.gonzalez
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTseguridadelinux
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snortgarciadebora
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregableKarmen Arrazola
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Snort
SnortSnort
SnortStickman Hai
 

Weitere ähnliche Inhalte

Was ist angesagt?

Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Francisco Ribadas
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZAula Campus
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsRodolfo Pilas
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)xavazquez
 

Was ist angesagt? (15)

Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
Protección perimetral. Fundamentos de firewalls y redes privadas virtuales
 
Sniffer
SnifferSniffer
Sniffer
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
dmz definicion
dmz definiciondmz definicion
dmz definicion
 
Esquema de Red con DMZ
Esquema de Red con DMZEsquema de Red con DMZ
Esquema de Red con DMZ
 
06 airc firewalls
06 airc firewalls06 airc firewalls
06 airc firewalls
 
Tecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNsTecnologías libres para túneles y VPNs
Tecnologías libres para túneles y VPNs
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaning
 
Firewall hw
Firewall hwFirewall hw
Firewall hw
 
Redes ,,,,
Redes ,,,,Redes ,,,,
Redes ,,,,
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
 
Nmap
NmapNmap
Nmap
 
Proyecto 7
Proyecto 7Proyecto 7
Proyecto 7
 
Luiyiana lab2
Luiyiana lab2Luiyiana lab2
Luiyiana lab2
 
Análisis de Monitoreo
Análisis de MonitoreoAnálisis de Monitoreo
Análisis de Monitoreo
 

Andere mochten auch

Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en redhugo.gonzalez
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTseguridadelinux
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snortgarciadebora
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregableKarmen Arrazola
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortFrancisco Medina
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Alberto Mayo Vega
 

Andere mochten auch (10)

Detector de ataques en red
Detector de ataques en redDetector de ataques en red
Detector de ataques en red
 
Sistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORTSistemas de detección de intrusiones. SNORT
Sistemas de detección de intrusiones. SNORT
 
Andrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de SnortAndrés González Suárez - Instalación y configuración de Snort
Andrés González Suárez - Instalación y configuración de Snort
 
Sg t2 practicas_snort
Sg t2 practicas_snortSg t2 practicas_snort
Sg t2 practicas_snort
 
Practica 4 herramienta snort entregable
Practica 4 herramienta snort entregablePractica 4 herramienta snort entregable
Practica 4 herramienta snort entregable
 
Actividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con SnortActividad No. 6.6: Detección de intrusos con Snort
Actividad No. 6.6: Detección de intrusos con Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)Sistemas de Detección de Intrusos (IDS)
Sistemas de Detección de Intrusos (IDS)
 
Ingeniería de software modelo incremental
Ingeniería de software modelo incrementalIngeniería de software modelo incremental
Ingeniería de software modelo incremental
 

Ähnlich wie Snort_IDS

How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
Que es un snifer
Que es un sniferQue es un snifer
Que es un sniferTensor
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Firewalls
FirewallsFirewalls
FirewallsTensor
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1Taringa!
 
Que es un snifer a
Que es un snifer aQue es un snifer a
Que es un snifer aTensor
 
Proyecto
ProyectoProyecto
Proyecto1smr07
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internetKandoloria
 
Sistemas
SistemasSistemas
Sistemas1 2d
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptxLuiga3
 
10.Protocolos de enrutamiento
10.Protocolos de enrutamiento10.Protocolos de enrutamiento
10.Protocolos de enrutamientoarlett09
 

Ähnlich wie Snort_IDS (20)

Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Que es un snifer
Que es un sniferQue es un snifer
Que es un snifer
 
Q es un snifer
Q es un sniferQ es un snifer
Q es un snifer
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewalls
FirewallsFirewalls
Firewalls
 
Ucv sesion 13 router1
Ucv sesion 13 router1Ucv sesion 13 router1
Ucv sesion 13 router1
 
Que es un snifer a
Que es un snifer aQue es un snifer a
Que es un snifer a
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Proyecto
ProyectoProyecto
Proyecto
 
Prote
ProteProte
Prote
 
Firewall y seguridad de internet
Firewall y seguridad de internetFirewall y seguridad de internet
Firewall y seguridad de internet
 
Sistemas
SistemasSistemas
Sistemas
 
Descripcion Net-SNMP
Descripcion Net-SNMP Descripcion Net-SNMP
Descripcion Net-SNMP
 
Firewall.pptx
Firewall.pptxFirewall.pptx
Firewall.pptx
 
Snort 2006
Snort 2006Snort 2006
Snort 2006
 
10.Protocolos de enrutamiento
10.Protocolos de enrutamiento10.Protocolos de enrutamiento
10.Protocolos de enrutamiento
 
Tarea migue[1]
Tarea migue[1]Tarea migue[1]
Tarea migue[1]
 

Kürzlich hochgeladen

Presentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la WebPresentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la Webfernandalunag19
 
Biología Células Musculares presentación
Biología Células Musculares presentaciónBiología Células Musculares presentación
Biología Células Musculares presentaciónStephanyJara1
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoCENECOnline
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadJonathanHctorSilvaRo
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...CENECOnline
 
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfperezreyesalberto10
 

Kürzlich hochgeladen (6)

Presentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la WebPresentacion Seguridad y Privacidad en la Web
Presentacion Seguridad y Privacidad en la Web
 
Biología Células Musculares presentación
Biología Células Musculares presentaciónBiología Células Musculares presentación
Biología Células Musculares presentación
 
Emprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC MexicoEmprende en SPA Segundo día CENEC Mexico
Emprende en SPA Segundo día CENEC Mexico
 
Corte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuadCorte de luz 2024 Guayaquil Guayas ecuad
Corte de luz 2024 Guayaquil Guayas ecuad
 
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
¡Descubre el Poder del Masaje Holístico en nuestra Primera Sesión del Seminar...
 
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdfAntenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
Antenas, tipos de antenas, diseño basico de una antena y parámetros.pdf
 

Snort_IDS

  • 1. ADMINISTRACIÓN DE REDES INTEGRANTES: • Martínez Ramos Natalia 11360619 • ValenciaCid Mireya 11360660 INSTITUTO TECNOLÓGICO DETEHUACÁN INGENIERÍA EN SISTEMAS COMPUTACIONALES
  • 2.  SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red.  Snort puede utilizarse tanto como sniffer de paquetes en una red pequeña como un sistema completo de detección de intrusos en tiempo real, esto debido a su capacidad de captura y registro de paquetes en redes TCP/IP.  A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.  Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
  • 3.  Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.  Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder analizar llamadas RPC y escaneo de puertos antes de que ´estos sean contrastados con el conjunto de reglas asociado en busca de alertas.
  • 4.  La arquitectura central de Snort se basa en los siguientes cuatro componentes: • Decodificador de paquetes o Sniffer • Preprocesador • Motor de detección • Sistema de Alertas e Informes  Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el conjunto de reglas activadas) y generando, por parte del ´ultimo de los componentes, las alertas y los informes necesarios.
  • 5.
  • 6.  Esquema del funcionamiento del decodificador de paquetes de Snort.
  • 7.  El preprocesador obtiene paquetes sin tratar (raw paquets) y los verificará mediante un conjunto de plug-ins. Estos plug-ins verificarán los paquetes en busca de ciertos comportamientos en estos que le permita determinar su tipo. Una vez determinado el comportamiento del paquete, ´este será enviado hacia el motor de detección.  Esta característica de preprocesamiento es realmente importante para una herramienta de detección, ya que es posible la utilización de terceras aplicaciones (en forma de plug-ins) que pueden ser activadas y desactivadas según las necesidades del nivel de preprocesado. Por ejemplo, si a un administrador de red no le preocupa el tráfico RPC que entra y sale de su red (y no necesita, por tanto, analizarlo) por cualquier motivo, no tendrá más que desactivar el plug-in de RPC y seguir utilizando el resto.
  • 8.
  • 9.  El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados, el motor de detección contrastará estos datos con su base de reglas. Si alguna de las reglas coincide con la información obtenida, el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.  Snort posee una sintaxis propia para la creación de las reglas. Esta sintaxis incluye el tipo de protocolo, el contenido, la longitud, la cabecera, etc., que permiten especificar hasta el más mínimo detalle de la condición que ha de darse para que un paquete cumpla dicha regla.
  • 10.
  • 11.  1. Puede instalarse Snort desde repositorios en linux. • 2. Se pide especificar el rango de la red local en la que se utilizará Snort
  • 12.  1. Comando para configurar Snort • 2. Forma en que iniciará Snort: • al encender el equipo, • al conectarse a la red o • manualmente
  • 13.  Especificación de la interfaz de red que Snort escuchará
  • 14.  Se establece el rango de la red local • Habilitación o deshabilitación del modo Promiscuo
  • 15.  Se da la opción de enviar resúmenes diarios de la actividad monitoreada por Snort a un correo electrónico • Para finalizar, Snort debe ser reiniciado
  • 16.
  • 17.  1. Install Snort  cd /usr/src  wget https://www.snort.org/downloads/snort/snort-2.9.7.0.tar.gz  tar -zxf snort-2.9.7.0.tar.gz && cd snort-2.9.7.0  ./configure --enable-sourcefire && make && make install  2. Create Snort directories:  mkdir /usr/local/etc/snort  mkdir /usr/local/etc/snort/rules  mkdir /var/log/snort  mkdir /usr/local/lib/snort_dynamicrules
  • 18.  3. Create empty rules files:  touch /usr/local/etc/snort/rules/white_list.rules  touch /usr/local/etc/snort/rules/black_list.rules  touch /usr/local/etc/snort/rules/local.rules  touch /usr/local/etc/snort/rules/snort.rules  touch /usr/local/etc/snort/sid-msg.map  4. Create snort user and grant privileges:  groupadd snort && useradd -g snort snort  chown snort:snort /var/log/snort
  • 19.  5. Copy snort configuration files:  cp /usr/src/snort-2.9.7.0/etc/*.conf* /usr/local/etc/snort  cp /usr/src/snort-2.9.7.0/etc/*.map /usr/local/etc/snort  6. Configure Snort (edit snort.conf)  vim /usr/local/etc/snort/snort.conf  Line #45 - ipvar HOME_NET 172.26.12.0/22 – make this match your internal network;  Line #48 - ipvar EXTERNAL_NET !$HOME_NET  Line #104 - var RULE_PATH rules  Line #109 - var WHITE_LIST_PATH rules  Line #110 - var BLACK_LIST_PATH rules  Line #293 - add this to the end after “decompress_depth 65535” max_gzip_mem 104857600  Line #521 - add this line - output unified2: filename snort.log, limit 128  Line #543 - delete or comment out all of the “include $RULE_PATH” lines except:  include $RULE_PATH/local.rules  include $RULE_PATH/snort.rules – add after local.rules
  • 20.  7. Make sure at line #265 the following rules are uncommented:  preprocessor normalize_ip4  preprocessor normalize_tcp: ips ecn stream  preprocessor normalize_icmp4  preprocessor normalize_ip6  preprocessor normalize_icmp6  8. On line #188 at the end of step #2 of snort.cong add:  config policy_mode:inline  9. Configure daq at line #159 in snort.cong  config daq: afpacket  config daq_dir: /usr/local/lib/daq  config daq_mode: inline  config daq_var: buffer_size_mb=1024  10. Save changes to snort.conf
  • 21.  Usando el comando “snort -v”  El servidor tiene una ip 192.168.1.4 y el cliente tiene la ip 192.168.1.5  Se hace un ping desde el cliente al servidor.  Puede apreciarse la información delos paquetes enviados desde el cliente y los de respuesta del servidor
  • 22.  Al terminar la ejecución del comando, se muestra un resumen de la actividad