Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 1

Actividad  No.  6.6:  Detección  de   intrusos  con  Snort  

Antecedentes   Snort es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza exploración al contenido de paquetes y puede usarse para detectar una variedad de ataques y pruebas de intrusión como escaneo de puertos, ataques DoS, etc.

Objetivo   Realizar la instalación y configuración del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7.

Requisitos   Los pasos descritos en esta práctica asumen que se tiene instalado el sistema operativo CentOS 7 x86_64 en su versión mínima. El iso se encuentra disponible en la página del proyecto CentOS1.

Instrucciones   Esta práctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la instalación de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos necesarios para realizar de forma exitosa la configuración básica de Snort.

1 http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 2

Parte  1:  Instalación  de  Snort   Para realizar la instalación de la versión Snort 2.9 sobre el sistema operarito Centos 7x66_64 en su versión mínima realizar los siguientes pasos:

1. Actualizar el sistema operativo con el comando:  yum  update    

   

2. Instalar el paquete wget con el comando: yum  –y  install  wget

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 3

3. Instalar el paquete daq con los siguientes comandos: a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm

b. rpm -Uvh cert-forensics-tools-release-el7.rpm

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 4

4. Instalar el paquete Snort con el comando: yum   -­‐y   install   https://www.snort.org/downloads/snort/snort-­‐2.9.7.2-­‐1.centos7.x86_64.rpm

5. Crea una cuenta en el sitio https://www.snort.org/users/sign_in

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 5

6. Una vez dentro del portal de Snort obtén el código Oinkode.

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 6

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 7

Parte  2:  Configuración  de  Snort  

La segunda parte de esta práctica consiste en realizar la configuración de Snort, para ello es necesario realizar los siguientes pasos:

1. Descarga e instala las reglas de la comunidad que utilizará Snort para detectar tráfico

anómalo en una red con el siguiente comando:

a. wget   -­‐c   "https://www.snort.org/downloads/community/community-­‐rules.tar.gz"  

 

 

b. tar  -­‐zxvf  community-­‐rules.tar.gz  -­‐C  /etc/snort/rules  

2. Descarga e instala las reglas de usuario registrado que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando:

a. wget   https://www.snort.org/rules/snortrules-­‐snapshot-­‐2972.tar.gz?oinkcode=<Oinkode>    

b. tar  -­‐zxvf  snortrules-­‐snapshot-­‐2972.tar.gz\?oinkcode\=<Oinkode>      

c. cp  -­‐var  etc/*  /etc/snort/    

d. rm  -­‐rf  etc/    

e. mv  preproc_rules/  so_rules/  /etc/snort/rules/    

f. cp  -­‐var  rules/*  /etc/snort/rules/    

g. rm  -­‐rf  rules/    

3. Crea los siguientes archivos y directorio:

a. touch  /etc/snort/rules/black_list.rules    

b. touch  /etc/snort/rules/white_list.rules    

c. mkdir  -­‐p  /usr/local/lib/snort_dynamicrules    

 

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 8

4. Realiza una copia de respaldo del archivo snort.conf con el comando: cp  -­‐var  /etc/snort/snort.conf{,.bck}    

 

 

5. Edita el archivo /etc/snort/snort.conf con el siguiente comando: vi  /etc/snort/snort.conf  

6. Edita las siguientes líneas con los valores indicados a continuación:

var  RULE_PATH  /etc/snort/rules  var  SO_RULE_PATH  /etc/snort/rules/so_rules  var  PREPROC_RULE_PATH  /etc/snort/rules/preproc_rules  dynamicpreprocessor  directory  /usr/lib64/snort-­‐2.9.7.2_dynamicpreprocessor  dynamicengine  /usr/lib64/snort-­‐2.9.7.2_dynamicengine/libsf_engine.so  dynamicdetection  directory  /usr/local/lib/snort_dynamicrules  

7. Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la siguiente variable:   SELINUXTYPE=targeted    

8. Reiniciar el equipo con el comando: reboot 9. Iniciar el sensor de Snort con el comando: systemctl  start  snortd 10. Verificar el estado del sensor con el comando: systemctl  –l  status  snortd

Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones

Elaboró: Francisco Medina López 9

11. Monitorear la bitácora de alertas de Snort con el comando: tail  –f  /var/log/snort/alert