Actividad No. 6.6: Detección de intrusos con Snort
-
Upload
francisco-medina -
Category
Education
-
view
371 -
download
2
Transcript of Actividad No. 6.6: Detección de intrusos con Snort
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 1
Actividad No. 6.6: Detección de intrusos con Snort
Antecedentes Snort es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza exploración al contenido de paquetes y puede usarse para detectar una variedad de ataques y pruebas de intrusión como escaneo de puertos, ataques DoS, etc.
Objetivo Realizar la instalación y configuración del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7.
Requisitos Los pasos descritos en esta práctica asumen que se tiene instalado el sistema operativo CentOS 7 x86_64 en su versión mínima. El iso se encuentra disponible en la página del proyecto CentOS1.
Instrucciones Esta práctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la instalación de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos necesarios para realizar de forma exitosa la configuración básica de Snort.
1 http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 2
Parte 1: Instalación de Snort Para realizar la instalación de la versión Snort 2.9 sobre el sistema operarito Centos 7x66_64 en su versión mínima realizar los siguientes pasos:
1. Actualizar el sistema operativo con el comando: yum update
2. Instalar el paquete wget con el comando: yum –y install wget
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 3
3. Instalar el paquete daq con los siguientes comandos: a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm
b. rpm -Uvh cert-forensics-tools-release-el7.rpm
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 4
4. Instalar el paquete Snort con el comando: yum -‐y install https://www.snort.org/downloads/snort/snort-‐2.9.7.2-‐1.centos7.x86_64.rpm
5. Crea una cuenta en el sitio https://www.snort.org/users/sign_in
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 5
6. Una vez dentro del portal de Snort obtén el código Oinkode.
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 6
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 7
Parte 2: Configuración de Snort
La segunda parte de esta práctica consiste en realizar la configuración de Snort, para ello es necesario realizar los siguientes pasos:
1. Descarga e instala las reglas de la comunidad que utilizará Snort para detectar tráfico
anómalo en una red con el siguiente comando:
a. wget -‐c "https://www.snort.org/downloads/community/community-‐rules.tar.gz"
b. tar -‐zxvf community-‐rules.tar.gz -‐C /etc/snort/rules
2. Descarga e instala las reglas de usuario registrado que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando:
a. wget https://www.snort.org/rules/snortrules-‐snapshot-‐2972.tar.gz?oinkcode=<Oinkode>
b. tar -‐zxvf snortrules-‐snapshot-‐2972.tar.gz\?oinkcode\=<Oinkode>
c. cp -‐var etc/* /etc/snort/
d. rm -‐rf etc/
e. mv preproc_rules/ so_rules/ /etc/snort/rules/
f. cp -‐var rules/* /etc/snort/rules/
g. rm -‐rf rules/
3. Crea los siguientes archivos y directorio:
a. touch /etc/snort/rules/black_list.rules
b. touch /etc/snort/rules/white_list.rules
c. mkdir -‐p /usr/local/lib/snort_dynamicrules
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 8
4. Realiza una copia de respaldo del archivo snort.conf con el comando: cp -‐var /etc/snort/snort.conf{,.bck}
5. Edita el archivo /etc/snort/snort.conf con el siguiente comando: vi /etc/snort/snort.conf
6. Edita las siguientes líneas con los valores indicados a continuación:
var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/rules/so_rules var PREPROC_RULE_PATH /etc/snort/rules/preproc_rules dynamicpreprocessor directory /usr/lib64/snort-‐2.9.7.2_dynamicpreprocessor dynamicengine /usr/lib64/snort-‐2.9.7.2_dynamicengine/libsf_engine.so dynamicdetection directory /usr/local/lib/snort_dynamicrules
7. Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la siguiente variable: SELINUXTYPE=targeted
8. Reiniciar el equipo con el comando: reboot 9. Iniciar el sensor de Snort con el comando: systemctl start snortd 10. Verificar el estado del sensor con el comando: systemctl –l status snortd
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López 9
11. Monitorear la bitácora de alertas de Snort con el comando: tail –f /var/log/snort/alert