La detección de intrusiones en una red es importante para la seguridad informática. Sistema de detección de intrusos utilizado para la detección de intentos ilegales y maliciosos en la red. Snort es un conocido sistema de detección de intrusiones de código abierto. La interfaz web (Snorby) puede utilizarse para un mejor análisis de las alertas. Snort puede ser utilizado como un sistema de prevención de intrusiones con el firewall iptables/pf. En este artículo, instalaremos y configuraremos un sistema IDS de código abierto, snort.

Instalación de snort

Requisito

Librería de adquisición de datos (DAQ) es utilizada por el snort para las llamadas abstractas a las bibliotecas de captura de paquetes. Está disponible en el sitio web de snort. El proceso de descarga se muestra en la siguiente captura de pantalla.


Extráigalo y ejecute los comandos ./configure, make y make install para la instalación de DAQ. Sin embargo, DAQ requiere otras herramientas por lo que el script ./configure generará los siguientes errores.

error de flex y bison


error de libpcap.


Por lo tanto, instale primero flex/bison y libcap antes de la instalación de DAQ que se muestra en la figura.


La instalación de la librería de desarrollo libpcap se muestra a continuación


Después de la instalación de las herramientas necesarias, de nuevo ejecute el script ./configure que mostrará la siguiente salida.


El resultado de los comandos make y make install se muestra en las siguientes pantallas.



Después de la instalación exitosa de DAQ, ahora vamos a instalar snort. La descarga usando wget se muestra en la siguiente figura.


Extraiga el paquete comprimido usando el siguiente comando.

#tar -xvzf snort-2.9.7.3.tar.gz

Cree el directorio de instalación y establezca el parámetro prefix en el script configure. También se recomienda habilitar el indicador sourcefire para la supervisión del rendimiento de los paquetes (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

El script de configuración genera un error debido a que faltan las bibliotecas de desarrollo libpcre-dev , libdumbnet-dev y zlib.

error debido a la falta de la biblioteca libpcre.


error debido a la falta de la biblioteca dnet (libdumbnet).


El script de configuración genera un error debido a la falta de la biblioteca zlib.


La instalación de todas las bibliotecas de desarrollo requeridas se muestra en las siguientes capturas de pantalla.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Después de la instalación de las bibliotecas requeridas arriba para snort, vuelva a ejecutar los scripts de configuración sin ningún error.

Ejecutar los comandos make & make install para la compilación e instalación de snort en el directorio /usr/local/snort.

#make

#make install

Finalmente snort se ejecuta desde el directorio /usr/local/snort/bin. Actualmente está en modo promisc (modo de volcado de paquetes) de todo el tráfico en la interfaz eth0.


El volcado de tráfico por la interfaz snort se muestra en la siguiente figura.


Reglas y configuración de snort

La instalación de snort desde el código fuente requiere reglas y configuración por lo que ahora copiaremos las reglas y la configuración en el directorio /etc/snort. Hemos creado scripts bash individuales para las reglas y la configuración. Se utiliza para la siguiente configuración de snort.

  • Creación del usuario snort para el servicio snort IDS en linux.
  • Creación de directorios y archivos bajo el directorio /etc para la configuración de snort.
  • Configuración de permisos y copia de datos desde el directorio etc del código fuente de snort.
  • Quitar # (signo de comentario) de la ruta de reglas en el archivo snort.conf.
Eco «—DONE—«

Cambiar el directorio fuente de snort en el script y ejecutarlo. La siguiente salida aparece en caso de éxito.

El script anterior copió los siguientes archivos/directorios de la fuente de snort en el archivo de configuración /etc/snort.

El archivo de configuración de snort es muy complejo, sin embargo, se requieren los siguientes cambios necesarios en snort.conf para que el IDS funcione correctamente.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


Quitar el signo de comentario (#) de otras reglas como ftp.rules,exploit.rules etc.
Ahora descargue las reglas de la comunidad y extraiga en el directorio /etc/snort/rules. Habilite las reglas comunitarias y de amenazas emergentes en el archivo snort.conf.


Ejecute el siguiente comando para probar el archivo de configuración después de los cambios mencionados.
#snort -T -c /etc/snort/snort.conf


Conclusión

admin

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

lg