Snort: Sniffer y detector de intrusos

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Versiones de software

Sistema Operativo: Debian Jessie
Snort: snort-2.9.7.6

Instalación

Agregar los repositorios necesarios

Agregar las claves

Y actualizar los repositorios

Instalar las dependencias necesarias

Añadir la siguientes líneas al archivo rc.local antes de exit0 (sustituir eth0 por la interfaz de vuestra máquina)

Instalar los pre-requisitos de Snort (libcap, libdnet, DAQ)

Libpcap

Libdnet

DAQ

Actualizar la ruta de la librería

Instalar, configurar y probar snort

Configuración

Editar el archivo de configuración de snort

Crear la variable de la ruta de las reglas

Crear archivo local.rules y añadir una norma para probar

Hacemos un testeo de la configuración

Ejecutar el siguiente comando y generar trafico ICMP con un ping desde otra consola

Si se genera algo así es que está bien configurado

Instalar y configurar Barnyard2 para aumentar el rendimiento y liberar a Snort de trabajos de proceso.

Editar el archivo de configuración de barnyard2

MySQL

Configurar Mysql

Securizar mysql

Crear la base de datos de snort y el usuario

Iniciar Snort y barnyard con los siguientes comandos

Comprobar que se añaden correctamente los eventos. Se puede hacer un ping desde otra máquina para ver que el contador sube

Apache y PHP

Configuración de apache y PHP

Instalar y configurar BASE

En el navegador https://IP/base y seguir los pasos de configuración.

Snortbarn

Crear el archivo snortbarn

Darle permisos de ejecución y hacer que se inicie con el sistema

Pulledpork

Tener las reglas actualizadas con pulledpork

Crearse una cuenta en snort para conseguir el oinkcode

Limpiar el sistema despues de la instalación


Ref:

https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/049/original/Debian___Snort_based_Intrusion_Detection_System.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1420223669&Signature=FjGmxPiTERMqNuU1ofWvWRpl%2Fq8%3D
http://es.wikipedia.org/wiki/Snort

5 comments

  1. Buenas noches
    Tendran un manual como este adaptado para arch linux o manjaro, ya que algunas comandos son diferentes, quisiera implentarlo pero ya he intentado con varios tutoriales pero no funciona correctamentes
    Saludos

    1. Buenas,
      yo no te recomendaría instalar snort en un arch ya que es mucho mas complicado ya que tienes que compilar todos los paquetes uno a uno y a la hora de actualizar te va dar muchos mas problemas. Por eso te recomiendo hacerlo sobre una Debian.

  2. Buenas,
    He seguido el tutorial línea a línea pero cuando trato de iniciar el snortbart creado en /etc/init.d me aparece el siguiente error:

    /etc/init.d/snortbarn start
    [….] Starting snortbarn (via systemctl): snortbarn.serviceFailed to start snortbarn.service: Unit snortbarn.service failed to load: No such file or directory.
    failed!

    ¿Podrías ayudarme?
    Gracias y un saludo.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *