Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 64 vistas

    Documento Snort

    Cargado por

    Emanuel Padilla
    Este documento proporciona una guía para instalar y configurar Snort como un sistema de detección de intrusiones de red (NIDS) en Ubuntu Server 18.04. Explica cómo instalar Snort y sus requisitos previos desde los repositorios, configurar la interfaz de red, crear reglas personalizadas para detectar actividades como el acceso a redes sociales y escaneos de red, y probar que Snort funciona generando alertas. Finalmente, incluye algunas referencias bibliográficas sobre Snort.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado

    Documento Snort

    Cargado por

    Emanuel Padilla
    64 vistas12 páginas
    Este documento proporciona una guía para instalar y configurar Snort como un sistema de detección de intrusiones de red (NIDS) en Ubuntu Server 18.04. Explica cómo instalar Snort y sus requisitos previos desde los repositorios, configurar la interfaz de red, crear reglas personalizadas para detectar actividades como el acceso a redes sociales y escaneos de red, y probar que Snort funciona generando alertas. Finalmente, incluye algunas referencias bibliográficas sobre Snort.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento proporciona una guía para instalar y configurar Snort como un sistema de detección de intrusiones de red (NIDS) en Ubuntu Server 18.04. Explica cómo instalar Snort y sus requisitos previos desde los repositorios, configurar la interfaz de red, crear reglas personalizadas para detectar actividades como el acceso a redes sociales y escaneos de red, y probar que Snort funciona generando alertas. Finalmente, incluye algunas referencias bibliográficas sobre Snort.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como docx, pdf o txt
    64 vistas12 páginas

    Documento Snort

    Cargado por

    Emanuel Padilla
    Este documento proporciona una guía para instalar y configurar Snort como un sistema de detección de intrusiones de red (NIDS) en Ubuntu Server 18.04. Explica cómo instalar Snort y sus requisitos previos desde los repositorios, configurar la interfaz de red, crear reglas personalizadas para detectar actividades como el acceso a redes sociales y escaneos de red, y probar que Snort funciona generando alertas. Finalmente, incluye algunas referencias bibliográficas sobre Snort.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como docx, pdf o txt
    de 12

    UNIVERSIDAD MAYOR REAL Y PONTIFICIA DE SAN

    FRANCISCO XAVIER DE CHUQUISACA

    FACULTAD DE CIENCIA Y TECNOLOGÍA

    INGENIERÍA EN TELECOMUNICACIONES

    INFORME DE INSTALACIÓN Y CONFIGURACIÓN


    DE SNORT EN UBUNTU 18.04

    DTIC

    Pasante de Telecomunicaciones

    Emanuel Padilla Caihuara

    C.U.: 56-852

    31 de marzo de 2021

    Sucre – Bolivia
    GUÍA DE INSTALACIÓN Y CONFIGURACIÓN DE SNORT EN
    UBUNTU 18.04

    Snort es el sistema de prevención de intrusiones (IPS) de código abierto más importante del
    mundo. Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa
    esas reglas para encontrar paquetes que coincidan con ellas y genera alertas para los usuarios.

    Snort también se puede implementar en línea para detener estos paquetes. Snort tiene tres usos
    principales: como rastreador de paquetes como tcpdump, como registrador de paquetes, que es
    útil para la depuración del tráfico de red, o puede usarse como un sistema de prevención de
    intrusiones en la red en toda regla. Snort se puede descargar y configurar tanto para uso personal
    como comercial.

    En este documento se explicará y detallará en lo posible los pasos realizados para la instalación y
    configuración de Snort como un sistema de detección de intrusiones en la red (NIDS) en Ubuntu
    Server 18.04.

    Instalación de Snort.
    Para comenzar realizamos una actualización de los paquetes disponibles y sus versiones:
    sudo apt-get update && apt-get upgrade

    A continuación, debemos instalar todos los requisitos previos de los repositorios de Ubuntu:
    sudo apt-get install -y build-essential libpcap-dev libpcre3-dev
    libdumbnet-dev bison flex zlib1g-dev liblzma-dev openssl libssl-dev

     build-essential : proporciona las herramientas de construcción (GCC y similares) para


    compilar software.

     bison, flex : analizadores requeridos por DAQ.

     libpcap-dev : biblioteca para la captura de tráfico de red requerida por Snort.


     libpcre3-dev : Biblioteca de funciones para admitir expresiones regulares requeridas por
    Snort.

     libdumbnet-dev : la biblioteca libdnet proporciona una interfaz portátil simplificada para


    varias rutinas de red de bajo nivel. 

     zlib1g-dev : una biblioteca de compresión requerida por Snort.

     liblzma-dev : proporciona descompresión de archivos swf (adobe flash)

     openssl y libssl-dev : proporciona firmas de archivos SHA y MD5

    Ahora estamos listos para instalar snort desde los repositorios de Ubuntu:
    sudo apt-get install snort

    A continuación, nos aparecerá una ventana de configuración que por el momento dejaremos por
    defecto y configuraremos más adelante:
    Ahora revisamos nuestra configuración de red (IP:192.168.9.129, netmask:255.255.255.0,
    interfaz:ens33)
    ifconfig

    A continuación, configuramos la interfaz de snort:


    sudo dpkg-reconfigure snort

    luego seleccionamos la opción manual


    A continuación, escribimos nuestra interfaz de red (ens33)

    Escribimos nuestra dirección IP (192.168.9.129/24)

    Colocamos la interfaz en modo promiscuo, para poder luego capturar todo el trafico en la red
    Finalmente nos saldrá una opción para reiniciar las configuraciones de snort

    Reiniciamos el servicio de snort


    sudo /etc/init.d/snort restart

    Creamos un archivo donde escribiremos las reglas a utilizar para snort, esto se hace en la carpeta
    rules
    nano /etc/snort/rules/ditc.rules

    Estas reglas dicen que cualquier paquete UDP, que vaya desde cualquier red hacia nuestra red,
    desde cualquier puerto, que contenga la palabra facebook, youtube, Instagram o twitter generará
    una alerta en pantalla o un log dependiendo de la configuración
    alert udp any any -> any any (msg:” Está ingresando en facebook”;
    content:” facebook”; sid:20000001; rev:1;)
    alert udp any any -> any any (msg:” Está ingresando en youtube”;
    content:” youtube”; sid:20000002; rev:1;)
    alert udp any any -> any any (msg:” Está ingresando en instagram”;
    content:” instagram”; sid:20000003; rev:1;)
    alert udp any any -> any any (msg:” Está ingresando en twitter”;
    content:” twitter”; sid:20000004; rev:1;)
    A continuación, editamos el archivo de configuración snort.conf
    sudo nano /etc/snort/snort.conf

    En la parte que se ve remarcada insertamos nuestra dirección IP

    Cambiamos la opción del archivo de reglas

    include $RULE_PATH/local.rules lo cambiamos por:


    include $RULE_PATH/ditc.rules

    Comentamos todas las reglas preconfiguradas con el símbolo # y lo guardamos

    Utilizamos el comando desde para poner en ejecución snort y ver los resultados
    sudo snort -q -A console -c /etc/snort/snort.conf -i ens33

    -q para mostrar solo los resultados no el proceso

    -A para mostrar los resultados en consola

    -c para mandar ubicación del archivo de configuración

    -i para indicar con que interfaz de red trabajar

    Desde otro equipo en la misma red ingresamos a alguna red social y en el servidor de snort nos
    aparecerá las alertas
    Continuamos configurando más reglas

    Para la detección de un escaneo con nmap


    alert tcp any any -> $HOME_NET any (msg: “Escaneo nmap ”; ack:0;
    sid:20000005; rev:1;)

    Para la detección de un escaneo Ping


    alert icmp any any -> $HOME_NET any (msg: “Escaneo PING icmp ”;
    sid:20000006; rev:1;)

    Para la detección de una conexiónj al servicio SSH


    alert tcp any any -> $HOME_NET 22 (msg: “ Conexión al servicio ssh
    ”; sid:20000007; rev:1;)

    Para la detección de una conexiónj al servicio FTP


    alert tcp any any -> $HOME_NET 20:21 (msg: “ Conexión al servicio
    FTP ”; sid:20000008; rev:1;)
    Verificamos que funciona realizando conexiones desde otras maquinas, reconocimiento icmp y
    nmap
    BIBLOGRAFÍA

    https://www.snort.org/documents

    https://seguridadyredes.wordpress.com/2009/03/03/snort-
    preprocesadores-i-parte/

    http://sublimerobots.com/2017/01/snort-2-9-9-x-ubuntu-installing-snort/

    http://manual-snort-org.s3-website-us-east-1.amazonaws.com/

    http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43100/5/fdeharob
    TFM0615memoria.pdf

    También podría gustarte