Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vu...
Próxima SlideShare
Cargando en…5
×

Actividad No. 6.6: Detección de intrusos con Snort

1.111 visualizaciones

Publicado el

Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.111
En SlideShare
0
De insertados
0
Número de insertados
118
Acciones
Compartido
0
Descargas
72
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Actividad No. 6.6: Detección de intrusos con Snort

  1. 1. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 1 Actividad  No.  6.6:  Detección  de  intrusos   con  Snort   Antecedentes   Snort es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza exploración al contenido de paquetes y puede usarse para detectar una variedad de ataques y pruebas de intrusión como escaneo de puertos, ataques DoS, etc. Objetivo   Realizar la instalación y configuración del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7. Requisitos   Los pasos descritos en esta práctica asumen que se tiene instalado el sistema operativo CentOS 7 x86_64 en su versión mínima. El iso se encuentra disponible en la página del proyecto CentOS 1 . Instrucciones   Esta práctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la instalación de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos necesarios para realizar de forma exitosa la configuración básica de Snort. 1 http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso
  2. 2. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 2 Parte  1:  Instalación  de  Snort   Para realizar la instalación de la versión Snort 2.9 sobre el sistema operarito Centos 7x66_64 en su versión mínima realizar los siguientes pasos: 1. Actualizar el sistema operativo con el comando:  yum  update         2. Instalar el paquete wget con el comando: yum  –y  install  wget
  3. 3. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 3 3. Instalar el paquete daq con los siguientes comandos: a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm b. rpm -Uvh cert-forensics-tools-release-el7.rpm
  4. 4. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 4 4. Instalar el paquete Snort con el comando: yum   -­‐y   install   https://www.snort.org/downloads/snort/snort-­‐2.9.7.2-­‐ 1.centos7.x86_64.rpm 5. Crea una cuenta en el sitio https://www.snort.org/users/sign_in
  5. 5. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 5 6. Una vez dentro del portal de Snort obtén el código Oinkode.
  6. 6. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 6
  7. 7. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 7 Parte  2:  Configuración  de  Snort   La segunda parte de esta práctica consiste en realizar la configuración de Snort, para ello es necesario realizar los siguientes pasos: 1. Descarga e instala las reglas de la comunidad que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando: a. wget   -­‐c   "https://www.snort.org/downloads/community/community-­‐ rules.tar.gz"       b. tar  -­‐zxvf  community-­‐rules.tar.gz  -­‐C  /etc/snort/rules   2. Descarga e instala las reglas de usuario registrado que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando: a. wget   https://www.snort.org/rules/snortrules-­‐snapshot-­‐ 2972.tar.gz?oinkcode=<Oinkode>     b. tar  -­‐zxvf  snortrules-­‐snapshot-­‐2972.tar.gz?oinkcode=<Oinkode>       c. cp  -­‐var  etc/*  /etc/snort/     d. rm  -­‐rf  etc/     e. mv  preproc_rules/  so_rules/  /etc/snort/rules/     f. cp  -­‐var  rules/*  /etc/snort/rules/     g. rm  -­‐rf  rules/     3. Crea los siguientes archivos y directorio: a. touch  /etc/snort/rules/black_list.rules     b. touch  /etc/snort/rules/white_list.rules     c. mkdir  -­‐p  /usr/local/lib/snort_dynamicrules      
  8. 8. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 8 4. Realiza una copia de respaldo del archivo snort.conf con el comando: cp  -­‐var  /etc/snort/snort.conf{,.bck}         5. Edita el archivo /etc/snort/snort.conf con el siguiente comando: vi  /etc/snort/snort.conf   6. Edita las siguientes líneas con los valores indicados a continuación: var  RULE_PATH  /etc/snort/rules   var  SO_RULE_PATH  /etc/snort/rules/so_rules   var  PREPROC_RULE_PATH  /etc/snort/rules/preproc_rules   dynamicpreprocessor  directory  /usr/lib64/snort-­‐2.9.7.2_dynamicpreprocessor   dynamicengine  /usr/lib64/snort-­‐2.9.7.2_dynamicengine/libsf_engine.so   dynamicdetection  directory  /usr/local/lib/snort_dynamicrules   7. Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la siguiente variable:   SELINUXTYPE=targeted     8. Reiniciar el equipo con el comando: reboot 9. Iniciar el sensor de Snort con el comando: systemctl  start  snortd 10. Verificar el estado del sensor con el comando: systemctl  –l  status  snortd
  9. 9. Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones Elaboró: Francisco Medina López 9 11. Monitorear la bitácora de alertas de Snort con el comando: tail  –f  /var/log/snort/alert      

×