1. qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
ertyuiopasdfghjklzxcvbnmqwer
Practica Snort en
tyuiopasdfghjklzxcvbnmqwerty
Linux
uiopasdfghjklzxcvbnmqwertyui
Seguridad Trimestre 1 2ºASIR
opasdfghjklzxcvbnmqwertyuiop
asdfghjklzxcvbnmqwertyuiopas
Débora García García
dfghjklzxcvbnmqwertyuiopasdf
ghjklzxcvbnmqwertyuiopasdfgh
jklzxcvbnmqwertyuiopasdfghjkl
zxcvbnmqwertyuiopasdfghjklzx
cvbnmqwertyuiopasdfghjklzxcv
bnmqwertyuiopasdfghjklzxcvbn
mqwertyuiopasdfghjklzxcvbnm
qwertyuiopasdfghjklzxcvbnmq
wertyuiopasdfghjklzxcvbnmqw
2. Seguridad Trimestre 1 Débora García García
Índice
Introducción ............................................................................................................................. 2
Instalación Lamp Server ............................................................................................................ 2
Crear la base de datos de Snort ................................................................................................. 3
Instalación de Snort .................................................................................................................. 3
Configuración de Snort ............................................................................................................. 4
Instalación de ACID ................................................................................................................... 7
Configuración de Acid Base ....................................................................................................... 8
Comprobación test IDS ............................................................................................................. 9
1
3. Seguridad Trimestre 1 Débora García García
Introducción
Un sistema de detección de intrusos (IDS) inspecciona toda la actividad de red entrante y
saliente e identifica patrones sospechosos que pueden indicar una red o un ataque al sistema
de una persona que intente entrar o comprometer un sistema.
Un IDS se diferencia de un cortafuegos en que el IDS es un servidor de seguridad que
inspecciona el tráfico y las paradas que basado en las reglas especificado por el usuario. Un
IDS por otro lado, inspecciona y evalúa el tráfico para determinar si es sospechoso. El IDS
puede generar alertas basadas en el análisis.
Existen varios lugares donde un IDS se puede implementar. Un escenario por ejemplo
podría ser un IDS en la parte delantera del firewall y un IDS detrás del firewall. Esto le
permitirá saber lo que el tráfico sospechoso que viene en la red de área extensa (WAN) y lo
que el tráfico sospechoso que a través del firewall.
Para facilitar la visualización de los datos relacionados con Snort, vamos a instalar también
un front-end basado en web. La consola de análisis de detección de intrusiones (ACID)
servirá para este propósito.
Instalación Lamp Server
Antes de instalar Snort tenemos que instalar el paquete de LAMP (Linux, Apache, Mysql, Php),
es un conjunto de subsistemas de software necesarios para configurar sitios web o servidores
dinámicos.
Apt-get install –y tasksel
Tasksel
Selecciona LAMP server
Contraseña de Mysql
2
4. Seguridad Trimestre 1 Débora García García
Ahora probamos que funciona apache, desde el navegador:
Crear la base de datos de Snort
Para ello accedemos a mysql:
Mysql –u root –p
Creamos la base de datos:
Ahora tenemos que dar privilegios al usuario snort:
Guardamos los cambios:
Instalación de Snort
Apt-get install snort-mysql
3
5. Seguridad Trimestre 1 Débora García García
Configuración de Snort
Ahora tenemos que volcar el contenido de las tablas de mysql a mysql. Actualizando la base de
datos con la estructura de la tabla snort, vamos a la ruta:
cd /usr/share/doc/snort-mysql
Luego ejecutamos zcat create_mysql.gz | mysql –u usuario–p usuario
Vamos a ver que las tablas se han creado:
4
6. Seguridad Trimestre 1 Débora García García
Modificamos el archivo de configuración de snort, en el incluimos información específica de
mysql:
Esta línea se encuetra en /etc/snort/snort.conf. Lo que hace es colocar un comentario enfrente
de la salida para el registro y añade la línea de salida para la base de datos.
Tenemos que quitar un archivo de la configuración de la base de datos snort:
Iniciamos el servicio Snort:
/etc/init.d/snort start
Tenemos un error, vamos al archivo “/etc/snort/snort.conf” y vamos a copiar la línea que
contiene datos importantes de la base de datos y luego la borramos de este archivo:
5
7. Seguridad Trimestre 1 Débora García García
Y la pegamos en el archivo “database.conf”, está en el mismo directorio, sustituye por la línea
que viene con unos datos por defecto:
Volvemos a iniciar el servicio Snort:
/etc/init.d/snort start
Vamos a ver en el log que el archivo funciona:
6
8. Seguridad Trimestre 1 Débora García García
Instalación de ACID
Este servicio es una interfaz para poder visualizar los registros de Snort almacenados en la base
de datos.
Apt-get –y install acidbase
La contraseña ha de ser la misma tanto para el usuario que creamos anteriormente de la base
de datos como en esta configuración de Acidbase, porque si no es la misma tendríamos que
modificaciones en los archivos de acidbase. (database.php y base_conf.php)
7
9. Seguridad Trimestre 1 Débora García García
Configuración de Acid Base
Nos dirigimos al navegador: localhost/acidbase
Hacer click setup page.
Hacer click Create Base AG
8
10. Seguridad Trimestre 1 Débora García García
Con este paso hemos creado tablas adicionales en la base de datos Snort pero con
funcionalidad de acidbase.
*Si queremos por ejemplo filtrar ciertas IP’s tendríamos que configurar el archivo
“/etc/acidbase/apache.conf”, después reinicias el servidor apache para aplicar estos cambios.
Comprobación test IDS
Vamos a probar Snort y Acidbase realizando un escaneo de puertos. Instalamos:
Apt-get install nmap
Los ataques a nuestra red podrán hacerse de la siguiente manera:
(Claro que nosotros el ataque lo haremos entre dos máquinas virtuales)
9
11. Seguridad Trimestre 1 Débora García García
Así se ve por la interfaz.
10