Practica Snort

Autor: Victoriano Sevillano Vega

Curso:ASIR 2 Módulo: seguridad Autor: Victoriano Sevillano Vega

2 | P á g i n a

¿Qué es SNORT? Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...

Ejecución de la práctica: Vamos a instalar todos los paquetes que vamos a necesitar, que son:

En otras prácticas hemos visto como instalar apache, mysql, php, phpadmin, asi que vamos con snort. Lo único que nos va a pedir es la red en la que va a operar, asi que le diremos:


3 | P á g i n a

Una vez tengamos todos estos paquetes instalados, tendremos que instalar un último paquete, el cual podemos encontrar en: http://ftp.us.debian.org/debian/pool/main/a/acidbase/acidbase_1.4.5-2_all.deb

Ya tenemos el paquete descargado, ahora vamos a instalarlo, para ello: #dpkg –i acidbase_1.4.5-2_all.deb Si nos faltara algún paquete, ejecutar apt-get install –f

http://ftp.us.debian.org/debian/pool/main/a/acidbase/acidbase_1.4.5-2_all.deb


4 | P á g i n a

Ahora, si probamos en el navegador a acceder a acidbase, nos dará error, pues necesita algunas configuraciones aun:

Comentaremos la siguiente línea en el archivo apache.conf:

Reiniciamos apache, y probamos de nuevo. Puede que tengamos ahora el siguiente problema: Lo único que tuve que hacer fue ver el archivo /etc/acidbase/database.php y ver si estaban bien puestos los campos que se me indicaban.


5 | P á g i n a

Creación de la base de datos snort

Configuración de snort Vamos a dirigirnos a /usr/share/doc/snort-mysql y ejecutaremos el script créate_mysql.gz en la base de datos que creamos (snort).

Ahora, si vemos la base de datos, contendrá las tablas creadas por el script:


6 | P á g i n a

Aún nos queda modificar el archivo /etc/snort/database.conf: Editaremos la siguiente línea:


7 | P á g i n a

Ademas, comentamos la siguiente línea en snort.conf:

Reiniciamos el servicio:

. Ahora, ya podemos ejecutar snort:


8 | P á g i n a

Vemos que no ha funcionado, por tanto, tendremos que reconfigurar snort: #dpkg-reconfigure snort-mysql


9 | P á g i n a


10 | P á g i n a

Una vez reconfigurado, probamos con el nmap:


11 | P á g i n a

Probamos de nuevo y…

Practica Snort

Documents

Transcript of Practica Snort