INSTALACION, CONFIGURACION Y FUNCIONAMIENTO DEL IDS SNORT

ERIKA LISSET PARRA ORTIZCODIGO 1150128

UNIVERSIDAD FRANCISCO DE PAULA SANTANDERFACULTAD DE INGENIERIA INGENIERIA DE SISTEMASSAN JOSE DE CUCUTA2012

INSTALACIN, CONFIGURACIN Y FUNCIONAMIENTO DEL IDS SNORT

Snort es un Sistema de Deteccin de Intrusos (IDS), dispone de un lenguaje de creacin de reglas en el que se pueden definir los patrones que se utilizarn a hora de monitorizar el sistema. Adems, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalacin y configuracin.1. INSTALACINPara instalar Snort en Linux Mint se debe abrir la terminal, ingresamos con privilegios de administrador y ejecutamos el comando sudo apt-get install snort como se muestra a continuacin:

A continuacin se comenzarn a descargar e instalar todos los paquetes necesarios, A la pregunta de si deseamos continuar elegimos que S.

Posteriormente se solicitar la red y el intervalo de la misma para la cual Snort va a funcionar, Ingresamos la direccin IP asignada a nuestro PC , la mscara de subredes , presionamos OK y esperamos que termine de completar la instalacin.

2. CONFIGURACIN:Para modificar la configuracin con la que Snort se instala de forma predeterminada, Ingresamos el siguiente comando:

- A continuacin aparecer la configuracin para controlar el momento en el que el IDS queramos que inicie:

- Configurando qu redes monitorear.

- Configurando qu tipos de informes se puedenentregar, aqu e-mailenviarlosresmenes,etc.

Para comprobar que Snort se instal adecuadamente, lo ejecutamos en modo sniffer, en el que despliega todos los paquetes que llegan a su interfase promiscua de red, es decir, escucha los paquetes an cuando no vayan dirigidos a l. Para esto ejecutamos el siguiente comando:

Aparecer informacin en la que se puede ver cuntos paquetes fueron analizados y cuntos de esos paquetes pertenecen a determinado protocolo

Snort utiliza reglas que identifican el trfico por puerto, protocolo, contenido o dominio, al romper alguna regla se genera una alarma. Todos los archivos de reglas son incluidos en el archivo general /etc/snort/snort.conf, en el que se encuentran definiciones y variables comunes para todos los dems archivos.

A continuacin crearemos un archivo (erika.rules) con nuestras propias reglas con el siguiente comando:

Despus de abierto el editor, ingresamos las siguientes reglas, guardamos y salimos:

El camporev indica que es la primera revisin de ambas reglas, mientras que el campo sid(snort id) debe ser nico para cada regla.Las dos primeras reglas permiten generar una alarma y desplegar un texto siempre que cualquier host con cualquier puerto se comunique a cualquier puerto de cualquier otro host y dentro de la informacin se encuentren las palabras google o youtube.La ltima regla se orienta a detectar pings procedentes de mquinas Windows.Ingresamos el comando: sudo nano /etc/snort/snort.conf y al abrir, editamos la lnea ipvar HOME_NET colocando la direccin Ip de nuestro PC, indicndole que por aqu es por donde va a pasar todo el trfico para que el Snort lo pueda analizar.La lnea ipvar EXTERNAL_NET any indica que se va a analizar lo que venga de cualquier otra red externa

Agregamos el archivo erika.rules a la parte final donde se encuentran las otras reglas:

Guardamos y cerramos el archivo.Para mirar todas las reglas que tenemos habilitadas para las advertencias que nos va a dar Snort: cd /etc/snort/rules :

3. FUNCIONAMIENTOPara probar las reglas que se crearon, ejecutamos el comando: Sudo snort A console c /etc/snort/rules/erika.rules ieth0Para probar todas las reglas, incluyendo las que se crearon con la configuracin hecha en el archivo snort.conf se debe ejecutar el siguiente comando:sudo snort -A console -c /etc/snort/snort.conf

-A console es para que se identifiquen nicamente las alertas y se desplieguen en la consola.-c es para aplicar slo las reglas contenidas en el archivo (erika.rules)

A continuacin desde una maquina Windows hacemos ping -t a nuestra maquina:

Como el Snort est iniciado y analizando y/o detectando posibles anomalas en la red, escaneos de puertos, etc., las cuales sern sealadas en esta consola; automticamente detecta que la pc de Windows con la IP 172.16.2.203 est haciendo ping a nuestra maquina.