El documento describe los pasos para instalar y configurar el sistema de detección de intrusiones Snort en un sistema CentOS 7. Explica cómo descargar e instalar los paquetes necesarios, configurar las reglas de detección de amenazas de la comunidad Snort y de usuario registrado, y monitorear las alertas generadas.
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
Actividad No. 6.6: Detección de intrusos con Snort
1. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 1
Actividad
No.
6.6:
Detección
de
intrusos
con
Snort
Antecedentes
Snort es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar
análisis de tráfico y autentificación de paquetes en tiempo real en redes
TCP/IP. Snort realiza exploración al contenido de paquetes y puede
usarse para detectar una variedad de ataques y pruebas de intrusión
como escaneo de puertos, ataques DoS, etc.
Objetivo
Realizar la instalación y configuración del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7.
Requisitos
Los pasos descritos en esta práctica asumen que se tiene instalado el sistema operativo CentOS 7
x86_64 en su versión mínima. El iso se encuentra disponible en la página del proyecto CentOS
1
.
Instrucciones
Esta práctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la
instalación de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos
necesarios para realizar de forma exitosa la configuración básica de Snort.
1
http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso
2. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2
Parte
1:
Instalación
de
Snort
Para realizar la instalación de la versión Snort 2.9 sobre el sistema operarito Centos 7x66_64 en
su versión mínima realizar los siguientes pasos:
1. Actualizar el sistema operativo con el comando:
yum
update
2. Instalar el paquete wget con el comando: yum
–y
install
wget
3. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 3
3. Instalar el paquete daq con los siguientes comandos:
a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm
b. rpm -Uvh cert-forensics-tools-release-el7.rpm
4. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 4
4. Instalar el paquete Snort con el comando:
yum
-‐y
install
https://www.snort.org/downloads/snort/snort-‐2.9.7.2-‐
1.centos7.x86_64.rpm
5. Crea una cuenta en el sitio https://www.snort.org/users/sign_in
5. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 5
6. Una vez dentro del portal de Snort obtén el código Oinkode.
6. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 6
7. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 7
Parte
2:
Configuración
de
Snort
La segunda parte de esta práctica consiste en realizar la configuración de Snort, para ello es
necesario realizar los siguientes pasos:
1. Descarga e instala las reglas de la comunidad que utilizará Snort para detectar tráfico
anómalo en una red con el siguiente comando:
a. wget
-‐c
"https://www.snort.org/downloads/community/community-‐
rules.tar.gz"
b. tar
-‐zxvf
community-‐rules.tar.gz
-‐C
/etc/snort/rules
2. Descarga e instala las reglas de usuario registrado que utilizará Snort para detectar tráfico
anómalo en una red con el siguiente comando:
a. wget
https://www.snort.org/rules/snortrules-‐snapshot-‐
2972.tar.gz?oinkcode=<Oinkode>
b. tar
-‐zxvf
snortrules-‐snapshot-‐2972.tar.gz?oinkcode=<Oinkode>
c. cp
-‐var
etc/*
/etc/snort/
d. rm
-‐rf
etc/
e. mv
preproc_rules/
so_rules/
/etc/snort/rules/
f. cp
-‐var
rules/*
/etc/snort/rules/
g. rm
-‐rf
rules/
3. Crea los siguientes archivos y directorio:
a. touch
/etc/snort/rules/black_list.rules
b. touch
/etc/snort/rules/white_list.rules
c. mkdir
-‐p
/usr/local/lib/snort_dynamicrules
8. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 8
4. Realiza una copia de respaldo del archivo snort.conf con el comando:
cp
-‐var
/etc/snort/snort.conf{,.bck}
5. Edita el archivo /etc/snort/snort.conf con el siguiente comando:
vi
/etc/snort/snort.conf
6. Edita las siguientes líneas con los valores indicados a continuación:
var
RULE_PATH
/etc/snort/rules
var
SO_RULE_PATH
/etc/snort/rules/so_rules
var
PREPROC_RULE_PATH
/etc/snort/rules/preproc_rules
dynamicpreprocessor
directory
/usr/lib64/snort-‐2.9.7.2_dynamicpreprocessor
dynamicengine
/usr/lib64/snort-‐2.9.7.2_dynamicengine/libsf_engine.so
dynamicdetection
directory
/usr/local/lib/snort_dynamicrules
7. Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la
siguiente variable:
SELINUXTYPE=targeted
8. Reiniciar el equipo con el comando: reboot
9. Iniciar el sensor de Snort con el comando: systemctl
start
snortd
10. Verificar el estado del sensor con el comando: systemctl
–l
status
snortd
9. Universidad Nacional Autónoma de México
Facultad de Contaduría y Administración
Seguridad en Redes
Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 9
11. Monitorear la bitácora de alertas de Snort con el comando:
tail
–f
/var/log/snort/alert