Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 155 vistas

    Instalacion y Configuracion de Un Nids (Snort) en Ubuntu

    Cargado por

    Yacely Huamani
    Este documento describe cómo instalar y configurar Snort, un sistema de detección de intrusiones de red (NIDS), en Ubuntu. Explica que Snort analiza el tráfico de red en busca de patrones que indiquen posibles ataques o actividades maliciosas según reglas predefinidas. Luego guía al lector a través de los pasos para descargar e instalar Snort usando apt-get, y configurar la interfaz de red, dirección IP y otros parámetros para comenzar el monitoreo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Instalacion y Configuracion de Un Nids (Snort) en Ubuntu

    Cargado por

    Yacely Huamani
    155 vistas15 páginas
    Este documento describe cómo instalar y configurar Snort, un sistema de detección de intrusiones de red (NIDS), en Ubuntu. Explica que Snort analiza el tráfico de red en busca de patrones que indiquen posibles ataques o actividades maliciosas según reglas predefinidas. Luego guía al lector a través de los pasos para descargar e instalar Snort usando apt-get, y configurar la interfaz de red, dirección IP y otros parámetros para comenzar el monitoreo.

    Descripción original:

    snort

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento describe cómo instalar y configurar Snort, un sistema de detección de intrusiones de red (NIDS), en Ubuntu. Explica que Snort analiza el tráfico de red en busca de patrones que indiquen posibles ataques o actividades maliciosas según reglas predefinidas. Luego guía al lector a través de los pasos para descargar e instalar Snort usando apt-get, y configurar la interfaz de red, dirección IP y otros parámetros para comenzar el monitoreo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    155 vistas15 páginas

    Instalacion y Configuracion de Un Nids (Snort) en Ubuntu

    Cargado por

    Yacely Huamani
    Este documento describe cómo instalar y configurar Snort, un sistema de detección de intrusiones de red (NIDS), en Ubuntu. Explica que Snort analiza el tráfico de red en busca de patrones que indiquen posibles ataques o actividades maliciosas según reglas predefinidas. Luego guía al lector a través de los pasos para descargar e instalar Snort usando apt-get, y configurar la interfaz de red, dirección IP y otros parámetros para comenzar el monitoreo.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 15

    INSTALACION Y CONFIGURACION DE UN NIDS (SNORT) EN UBUNTU

    VIVIANA ISABEL ESPINOSA PEÑA 1150017


    ANA KATERINE MONTESINOS GELVEZ 1150013

    PROFESOR: JEAN POLO CEQUEDA

    MATERIA: SEGURIDAD INFORMATICA

    UNIVERSIDAD FRANCISCO DE PAULA SANTANDER


    INGENIERIA DE SISTEMAS
    SAN JOSE DE CUCUTA
    I SEMESTRE 2013
    SISTEMAS DE DETENCION DE INTRUSOS Y SNORT

    1. Introducción teórica

    Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los


    eventos ocurridos en un determinado sistema informático en busca de intentos de
    comprometer la seguridad de dicho sistema.

    SISTEMAS IDS

    Un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad


    que intenta detectar o monitorizar los eventos ocurridos en un determinado
    sistema informático o red informática en busca de intentos de comprometer la
    seguridad de dicho sistema.

     los IDS buscan patrones previamente definidos que impliquen cualquier


    tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

     Los IDS aportan a nuestra seguridad una capacidad de prevención y


    de alerta anticipada ante cualquier actividad sospechosa. No están
    diseñados paradetener un ataque, aunque sí pueden generar ciertos tipos
    de respuesta ante éstos.

     Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de


    nuestra red, examinan los paquetes analizándolos en busca de datos
    sospechosos y detectan las primeras fases de cualquier ataque como
    pueden ser el análisis de nuestra red, barrido de puertos, etc.

    TIPOS DE IDS

    HIDS (Host IDS)

    Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de


    eventos, analizando actividades con una gran precisión, determinando de esta
    manera qué procesos y usuarios se involucran en una determinada acción.
    Recaban información del sistema como ficheros, logs, recursos, etc, para su
    posterior análisis en busca de posibles incidencias.
    Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en
    desarrollar por la industria de la seguridad informática.
    NIDS (Net IDS)

    Protege un sistema basado en red. Actúan sobre una red capturando y


    analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego
    analizan los paquetes capturados, buscando patrones que supongan algún tipo
    de ataque.

    Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser
    pequeño. Actúan mediante la utilización de un dispositivo de red configurado en
    modo promiscuo (analizan, “ven” todos los paquetes que circulan por un
    segmento de red aunque estos nos vayan dirigidos a un determinado equipo).
    Analizan el trafico de red, normalmente, en tiempo real. No sólo trabajan a nivel
    TCP/IP, también lo pueden hacer a nivel de aplicación.

    Otros tipos son los híbridos.

    Por el tipo de respuesta podemos clasificarlos en:

    Pasivos: Son aquellos IDS que notifican a la autoridad competente o


    administrador de la red mediante el sistema que sea, alerta, etc. Pero no actúa
    sobre el ataque o atacante.

    Activos: Generan algún tipo de respuesta sobre el sistema atacante o fuente de


    ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida en
    nuestra configuración.

    Snort puede funcionar de las dos maneras.

    Arquitectura de un IDS

    Normalmente la arquitectura de un IDS, a grandes rasgos, está formada:


    1. La fuente de recogida de datos. Estas fuentes pueden ser un log,
    dispositivo de red, o como en el caso de los IDS basados en host, el propio
    sistema.
    2. Reglas que contienen los datos y patrones para detectar anomalías de
    seguridad en el sistema.
    3. Filtros que comparan los datos snifados de la red o de logs con los
    patrones almacenados en las reglas.
    4. Detectores de eventos anormales en el tráfico de red.
    5. Dispositivo generador de informes y alarmas. En algunos casos con la
    sofisticación suficiente como para enviar alertas vía mail, o SMS.
    Esto es a modo general. Cada IDS implementa la arquitectura de manera
    diferente.
    ¿Dónde colocar un IDS?

    Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en
    cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se
    trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en
    un dispositivo por donde pase todo el tráfico de red que nos interese.

    Posición del IDS:


    Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de
    entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande.
    La colocación detrás del cortafuegos monitorizará todo el tráfico que no sea
    detectado y parado por el firewall o cortafuegos, por lo que será considerado
    como malicioso en un alto porcentaje de los casos. La posibilidad de falsas
    alarmas muy inferior.
    Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás
    del cortafuegos para obtener información exacta de los tipos de ataques que
    recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o
    filtras muchos ataques.
    En ambientes domésticos, que es el propósito de este taller sobre IDS y Snort,
    podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso
    actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.

    ¿Qué es SNORT?

    Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS).


    Implementa un motor de detección de ataques y barrido de puertos que permite
    registrar, alertar y responder ante cualquier anomalía previamente definida como
    patrones que corresponden a ataques, barridos, intentos aprovechar alguna
    vulnerabilidad, análisis de protocolos, etc. conocidos. Todo esto en tiempo real.

    Snort está disponible bajo licencia GPL, gratuito y funciona bajo


    plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una
    gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones
    constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo
    detectadas a través de los distintos boletines de seguridad.

    Este IDS implementa un lenguaje de creación de reglas flexibles, potente y


    sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para
    backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap….

    Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué
    ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite
    guardar en un archivo los logs para su posterior análisis, un análisis offline) o como
    un IDS normal (en este caso NIDS).
    La colocación de Snort en nuestra red puede realizarse según el tráfico quieren
    vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del
    firewall… y en realidad prácticamente donde queramos.

    SNORT puede funcionar en:

     Modo sniffer, en el que se motoriza por pantalla en tiempo real la actividad


    en la red en que se ha configurado el Snort.
     Modo Packet logger (registro de paquetes), en el que se almacena en un
    sistema de log toda actividad de la red en que se ha configurado Snort
    para un posterior análisis.
     Modo IDS, en el que motoriza por pantalla o en un sistema basado en log,
    toda la actividad de la red a través de un fichero de configuración en el
    que se especifican las reglas y patrones a filtrar para estudiar los posibles
    ataques.

    Funcionamiento del motor de Snort

    El motor de Snort se divide en los siguientes componentes:


    - Decodificador del paquete
    - Preprocesadores.
    - Motor de detección (Comparación contra firmas).
    - Loggin y sistema de alerta
    - Plugins de salida.
    - El decodificado de paquete, toma los paquetes de diferentes tipos de
    interfaces de red y prepara el paquete para ser preprocesado o enviado
    al motor de detección.
    INSTALACION Y CONFIGURACION DE SNORT

    1. Instalación

    La instalación se hará en la distribución de Linux (Ubuntu 12.04). Para instalarlo se


    debe abrir el terminal,

    Y se digita el comando:

    sudo apt-get install snort

    El terminal le pide la clave del superusuario en este caso annie, para dar permisos
    para la instalación, cuando empieza a descargar los paquetes, muestra una
    ventana que pida una configuración antes de seguir con la descarga.
    En el paso anterior pide la dirección de red local (la cual va a ser la que se estará
    monitoreando). En este punto puede haber 3 opciones de configuración:
    - Si es una única dirección se colocara con máscara de sured /32
    - Si es un bloque de 256 IPs se utilizará la máscara /24
    - Si es una red más amplia se utilizará la máscara /16

    2. Configuración

    Cuando finaliza el proceso de instalación se procede a la configuración. Para


    esto tenemos que utilizar el siguiente comando:

    sudo dpkg-reconfigure snort

    Lo cual mostrara cual opción de arranque desea configurar. Y se escoge el modo


    manual y damos enter en aceptar.
    Luego sale una ventana de explicación de lo que será el próximo requisito a
    pedir, la interface de red q se escaneará.

    Aquí se explica que utiliza el siguiente comando para encontrar la interface (esto
    se hace en otro terminal para no interrumpir el proceso de configuración).

    /sbin/route –n

    Lo cual denota que la interfaz necesaria es la eth0.


    En la siguiente ventana de se escribe la interfaz obtenida de la anterior
    instrucción, y damos aceptar.

    Ahora se deberá escribir la dirección de red que se desea escanear.


    Ahora pide deshabilitar el modo promiscuo y le damos enter a la opción No.

    El modo promiscuo significa que se analizará todos los paquetes que pasen por el
    segmento aunque no sean de una conexión propia.

    Ahora se coloca las opciones adicionales snort a utilizar:


    La siguiente parte es para confirmar el envío de resúmenes al correo, primero se
    confirma si quiere habilitar esta opción y luego se digita el correo al cual se desea
    que se envíe dicha información.
    Ahora se especifica la cantidad de informes que se incluyen por alerta:

    Finalmente la solicitud del comando al finalizar para recargar las configuraciones


    hechas.
    Una vez finalizado el asistente de configuración, se ejecuta el comando mostrado
    en la siguiente instrucción

    CREACION DE REGLAS

    Se puede crear reglas en el siguiente directorio

    /etc/snort/rules/nombreArchivo.rules

    Abro:

    /etc/snort/snort.conf

    En este archivo se agrega la nueva regla.


    EJECUCION DE SNORT

    1. Primero hay que dirigirse al directorio de snort.

    cd /etc/snort/

    2. Ahora ejecutamos la siguiente instrucción

    snort -A console –c snort.conf –i eth0

    Empieza a correr…

    También podría gustarte