La detección de intrusiones en una red es importante para la seguridad informática. Sistema de detección de intrusos utilizado para la detección de intentos ilegales y maliciosos en la red. Snort es un conocido sistema de detección de intrusiones de código abierto. La interfaz web (Snorby) puede utilizarse para un mejor análisis de las alertas. Snort puede ser utilizado como un sistema de prevención de intrusiones con el firewall iptables/pf. En este artículo, instalaremos y configuraremos un sistema IDS de código abierto, snort.
Instalación de snort
Requisito
Librería de adquisición de datos (DAQ) es utilizada por el snort para las llamadas abstractas a las bibliotecas de captura de paquetes. Está disponible en el sitio web de snort. El proceso de descarga se muestra en la siguiente captura de pantalla.
Extráigalo y ejecute los comandos ./configure, make y make install para la instalación de DAQ. Sin embargo, DAQ requiere otras herramientas por lo que el script ./configure generará los siguientes errores.
error de flex y bison
error de libpcap.
Por lo tanto, instale primero flex/bison y libcap antes de la instalación de DAQ que se muestra en la figura.
La instalación de la librería de desarrollo libpcap se muestra a continuación
Después de la instalación de las herramientas necesarias, de nuevo ejecute el script ./configure que mostrará la siguiente salida.
El resultado de los comandos make y make install se muestra en las siguientes pantallas.
Después de la instalación exitosa de DAQ, ahora vamos a instalar snort. La descarga usando wget se muestra en la siguiente figura.
Extraiga el paquete comprimido usando el siguiente comando.
#tar -xvzf snort-2.9.7.3.tar.gz
Cree el directorio de instalación y establezca el parámetro prefix en el script configure. También se recomienda habilitar el indicador sourcefire para la supervisión del rendimiento de los paquetes (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
El script de configuración genera un error debido a que faltan las bibliotecas de desarrollo libpcre-dev , libdumbnet-dev y zlib.
error debido a la falta de la biblioteca libpcre.
error debido a la falta de la biblioteca dnet (libdumbnet).
El script de configuración genera un error debido a la falta de la biblioteca zlib.
La instalación de todas las bibliotecas de desarrollo requeridas se muestra en las siguientes capturas de pantalla.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Después de la instalación de las bibliotecas requeridas arriba para snort, vuelva a ejecutar los scripts de configuración sin ningún error.
Ejecutar los comandos make & make install para la compilación e instalación de snort en el directorio /usr/local/snort.
#make
#make install
Finalmente snort se ejecuta desde el directorio /usr/local/snort/bin. Actualmente está en modo promisc (modo de volcado de paquetes) de todo el tráfico en la interfaz eth0.
El volcado de tráfico por la interfaz snort se muestra en la siguiente figura.
Reglas y configuración de snort
La instalación de snort desde el código fuente requiere reglas y configuración por lo que ahora copiaremos las reglas y la configuración en el directorio /etc/snort. Hemos creado scripts bash individuales para las reglas y la configuración. Se utiliza para la siguiente configuración de snort.
- Creación del usuario snort para el servicio snort IDS en linux.
- Creación de directorios y archivos bajo el directorio /etc para la configuración de snort.
- Configuración de permisos y copia de datos desde el directorio etc del código fuente de snort.
- Quitar # (signo de comentario) de la ruta de reglas en el archivo snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN sideipvar EXTERNAL_NET !$HOME_NET # WAN side
