LinuxParty

Snort es una herramienta opensource utilizada en un gran número de sitios porque es una herramienta muy potente, que combinada con otras herramientas opensource tiene casi infinitas aplicaciones.

Para lo que nosotros vamos a utilizarla basta con descargarnos snort de su página principal. En la seccion downloads -> binaries -> win32, tenemos el instalador de windows.

Lo descargamos y ejecutamos la instalación, si no tenemos instalado el WinPcap lo instalaremos ya que es necesario para un correcto funcionamiento de snort.

En la instalación seleccionaremos la primera opción sin soporte para base de datos ya que vamos a almacenar las alertas en ficheros de texto.

El directorio de instalación por defecto es snort, es recomendable instalarlo ahí.

Antes de ejecutar snort es conveniente bajarse las últimas reglas de detección. Para esto hay que ir a la página de snort, downloads -> rules.

Os recomiendo bajaros las reglas para "suscriptores", sólo te piden que te registres y tienes acceso a las actualizaciones.

Las reglas vienen comprimidas en formato .tgz wl winrar por ejemplo lo reconoce para descomprimirlo. Una vez descargadas hay que descomprimir el archivo de reglas en C:\Snort.rules.

En C\:Snort\etc tenemos el fichero snort.conf que es el fichero de configuración, lo veremos en detalle más adelante ahora sólo fijarnos en la parte final donde hay una serie de "includes" con tipos de reglas, que en función de que tengan delante el signo almohadilla, "#", o no, se incluirán en la revisión de los paquetes. Sin el signo se tendrán en cuenta estas reglas para detectar ataques, con el signo, no se tendrán en cuenta y estos ataques no se detectarán.

Al principio es mejor quitar la almohadilla a todos y ver todos los ataques que detecta. Posteriormente se irán comentando los ataques que no apliquen.

Si ejecutáis snort desde la línea de comandos veréis que tiene multitud de opciones aquí sólo veremos las necesarias para utilizarlo como detector de intrusos para un PC personal. Si tenemos más de una tarjeta de red, Snort puede escuchar en cualquiera de los interfaces de la máquina por lo que debemos decirle donde escuchar con la opción -i y el número del interfaz.

Para conocer este número ejecutaremos: snort -W Nos dará un listado de números y descripciones seleccionamos el número adecuado al interfaz que queremos vigilar.

Una vez que tenemos el interfaz ejecutaremos el siguiente comando:

C:\Snortin>snort -dev -l C:\Snort\log -i 3 -h 10.10.10.1/24 -c c:\snort\etc\snort.conf

-dev La d muestra la información de aplicación, la e la información de la capa 2 y la v hace que este en modo verbose, lo utilizamos para ver que esta recogiendo tráfico de forma correcta.

-l Indica el directorio donde vamos a almacenar el log de alertas. En este directorio se creará un fichero automáticamente que se llamará alert y contendrá todas las alertas del IDS.

-i Le indicamos la interfaz a escuchar

-h Índicamos cual es la subred en la que estamos pinchados, también lo podemos hacer en el fichero de configuración.

-c Índicamos el path al fichero de configuración a utilizar.

Una vez que hemos ejecutado este comando y vemos tráfico en la pantalla y que se guardan las alertas en el fichero correspondiente, vamos a pasar a instalarlo como servicio y a que guarde las alertas en el visor de eventos de windows.

Para esto ejecutamos:

snort /SERVICE /INSTALL -l C:\Snort\log -i 3 -c C:\Snort\etc\snort.conf -E

Ahora ya no nos mostrará información en pantalla, se instalará como servicio y empezará a mandar las alertas al fichero antes mencionado y al visor de eventos de windows.

Si vamos a los servicios veremos snort, lo arrancamos y lo ponemos como automático para no tener que arrancarlo cada vez.

Si vamos al visor de eventos en la pestaña de aplicación veremos la información de alertas de snort.

Más adelante veremos como modificar la configuración, anádir reglas, hacer análisis automáticos de los logs ....

Fuente: Seguridadenred.net

Sistemas de detección de intrusiones.

SNORT (Front end gráfico -GUI- para Snort)

CAPÍTULO II:

• DESCARGA de IDSCenter
• CONFIGURACIÓN
• PUESTA EN MARCHA DE SNORT CON IDScenteR
• OTRAS OPCIONES de IDSCenter
• Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT

En este capítulo veremos la instalación de IDSCenter , uno de los front-end (interfaz gráfico) de Snort más usados en sistemas Windows. Es licencia GNU General Public Licence (GNU89).

DESCARGA de IDSCenter

En el momento en que se escribe este capítulo, la versión es la 109beta2

http://www.packx.net/packx/html/en/idscenter/index-idscenter.htm

http://packetstormsecurity.nl/sniffers/snort/idscenter109beta2.zip

Una vez descargado el archivo, lo descomprimimos, y ejecutamos el setup.exe. Seguimos los pasos normales para la instalación de cualquier programa de Windows.

Hay que tener en cuneta también que es necesario la instalación de la librería WinPCAP:

http://winpcap.polito.it/.

CONFIGURACIÓN

Una vez instalado el programa, lo ejecutamos y aparecerá en la barra de iconos al lado del reloj:

un icono negro tachado de rojo. Este nuestro icono de IDSCenter. Botón derecho sobre el icono:

y pulsamos sobre Setting, tras lo cual aparecerá el front-end de configuración de Snort con el panel General > Main configuration:

Aquí comentaremos la configuración de nuestro programa. En este capítulo lo configuraremos desde IDSCenter con la configuración más básica. Más adelante iremos complicando la configuración y viendo más opciones.

Desde este panel configuraremos la versión de Snort instalada en nuestro sistema: "Snort 1.8" o "Snort 1.7".

• Snort executable file: localización del ejecutable Snort.exe. Disponemos de un botón de navegación para su facil localización.
• Log file: ubicación del fichero de texto alert.ids, en el cual se almacenarán los logs de las alertas, intrusiones, etc a nuestro sistema.
• Log viewer: configura el tipo de salida para nuestros logs generados por Snort. Lo dejaremos de momento en internal logs viewer, aunque como vemos, podemos usar una salida tipo XML.

De momento esto es todo en este panel.

Vamos ahora al panel IDS rules > Snort config

Aquí le diremos a IDSCenter la ubicación del fichero de configuración de Snort (snort.conf).

Configuration file (Snort.conf): Ubicación de snort.conf

Aquí no hace falta configurar nada más. Ahora sólo tendremos que pulsar en el botón "Apply" para cargar snort.conf y nos aparecerá su contenido en la ventana.

Para comprobar que todo va bien y no hay errores de momento nos vamos al panel General > Overview:

En la ventana Configuration errors aparecerán, si se da el caso, los errores de configuración que hayamos cometido. Más abajo en Snort commandline vemos la línea de comandos que ejecutará Snort. Este paso de General > Overwiew para ver los errores de configuración lo podemos realizar en cualquier momento.

Panel Log setting > Logging parameters

Aquí entre otras muchas opciones que veremos en próximos capítulos, podemos seleccionar la interface de red. Útil para servidores con dos o más interfaces de red. Si hacemos algún cambio debemos pulsar "Apply".

Si pulsamos "Test setting" aparecerá una ventana DOS donde visualizaremos la ejecución de Snort en línea de comando para testear que con nuestra configuración no existe error alguno.

En este caso vemos que tras la carga de Snort.exe con los parámetros de configuración establecidos en IDSCenter, el sistema no nos devuelve error alguno y se queda el programa activo y en funcionamiento. Una vez visto esto, podemos cerrar la ventana.

PUESTA EN MARCHA DE SNORT CON IDScenter

Una vez realizados estos pasos ya podemos pulsar "Start Snort" que se encuentra arriba a la izquierda del panel que tengamos abierto.

Este icono que ahora aparece tachado dejará de estarlo y Snort entrará en funcionamiento como IDS,.

El panel de configuración ya podemos cerrarlo. Si pulsamos sobre el icono de Snort > botón derecho del ratón, tendremos un pequeño menú de opciones:

Pulsemos "View alerts" y veremos algo parecido a esto:

Este es el contenido del archivo alerts.ids donde se almacenan los logs de las alertas.

Si pulsamos en el menú anterior "Open logs folder", aparecerá el directorio logs con carpetas correspondientes a las direcciones IP de las máquinas que hayan sido logeadas por Snort, conteniendo detalles sobre la intrusión.

Ya tenemos trabajando a Snort como IDS, pero vamos a adelantar ahora algunas otras configuraciones.

OTRAS OPCIONES de IDSCenter

En el panel Alerts > Alert notification

Podemos configurar si queremos algún tipo de sonido (.wav) para las alarmas y el modo en que funcionarán éstas.

También podemos hacer trabajar conjuntamente Snort con BlackICE para usar las configuraciones de Autoblock que vienen implementadas en BlackICE. Sólo tendremos que marcar en la casilla correspondiente e indicar donde esta el archivo de configuración de BlackICE (recordemos que este cortafuegos software no para la salida al exterior de posibles troyanos, sólo detecta y para los intentos de entrada, como el "cortafuegos" interno del XP).

En Alerts > Alert Mail podemos configurar Snort para que nos envíe un mensaje vía correo electrónico.

Siempre que queramos modificar alguna configuración desde IDSCenter, una vez que lo hayamos iniciado, debemos parar Snort: "Stop Snort" y aplicar los cambios "Apply". Una vez hecho esto ya podemos otra vez "Start Snort".

Panel IDS rules > Rules/Signatures

En este panel vemos todas las reglas, ya preconfiguradas, que podemos activar/desactivar según nuestras necesidades. También podemos añadir otros set de reglas que hayamos escrito nosotros mismos.

El resto de configuraciones como Network variables, Preprocesadores, etc lo veremos en el siguiente capítulo.

Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT

El fichero Alert.ids es el archivo donde se almacenarán las alertas y registros de paquetes generados por Snort. Tiene un formato ASCII plano, fácilmente editable por cualquier procesador de textos.

Alert.ids está ubicado en el directorio /log dentro de la carpeta donde se realizó la instalación, normalmente C:\Snort.

*En este directorio también se almacenarán otros ficheros, como los relacionados a salidas o registros del preprocesador de scan de puertos o los registros de alertas asociados a la dirección IP que generó la alerta.

Para mejor comprensión de las alertas generadas por Snort, podemos configurar desde IDSCenter dos tipos de alertas:

1. Set alert mode FAST o Alerta Rápida
2. Set alert mode FULL o Alerta Completa

El modo Alerta Rápida nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación , prioridad de la alerta, IP y puerto de origen y destino.

El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen/destino e información completa de las cabeceras de los paquetes registrados.

Para configurar estos dos modos:

Panel Log setting > Logging parameters

Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuación entre Full y Fast. Terminada la operación Aplicamos la regla ("Apply") y "Start Snort".

Veamos dos ejemplos:

Se trata de dos simples accesos a un servidor proxy ubicado en el puerto 8080 de la máquina destino IP: 192.168.4.15 por parte del host IP: 192.168.4.3 que realiza la conexión mediante el puerto 1382 en el primer caso y 3159 en el segundo.

Snort clasifica o describe esta alerta como un intento de pérdida de información, clasificado como prioridad 2.

• Modo Alerta Rápida:

• Modo Alerta Completa:

[**] [1:620:2] SCAN Proxy (8080) attempt [**]

Whatsapp