Documento Snort
Documento Snort
Documento Snort
INGENIERÍA EN TELECOMUNICACIONES
DTIC
Pasante de Telecomunicaciones
C.U.: 56-852
31 de marzo de 2021
Sucre – Bolivia
GUÍA DE INSTALACIÓN Y CONFIGURACIÓN DE SNORT EN
UBUNTU 18.04
Snort es el sistema de prevención de intrusiones (IPS) de código abierto más importante del
mundo. Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa
esas reglas para encontrar paquetes que coincidan con ellas y genera alertas para los usuarios.
Snort también se puede implementar en línea para detener estos paquetes. Snort tiene tres usos
principales: como rastreador de paquetes como tcpdump, como registrador de paquetes, que es
útil para la depuración del tráfico de red, o puede usarse como un sistema de prevención de
intrusiones en la red en toda regla. Snort se puede descargar y configurar tanto para uso personal
como comercial.
En este documento se explicará y detallará en lo posible los pasos realizados para la instalación y
configuración de Snort como un sistema de detección de intrusiones en la red (NIDS) en Ubuntu
Server 18.04.
Instalación de Snort.
Para comenzar realizamos una actualización de los paquetes disponibles y sus versiones:
sudo apt-get update && apt-get upgrade
A continuación, debemos instalar todos los requisitos previos de los repositorios de Ubuntu:
sudo apt-get install -y build-essential libpcap-dev libpcre3-dev
libdumbnet-dev bison flex zlib1g-dev liblzma-dev openssl libssl-dev
Ahora estamos listos para instalar snort desde los repositorios de Ubuntu:
sudo apt-get install snort
A continuación, nos aparecerá una ventana de configuración que por el momento dejaremos por
defecto y configuraremos más adelante:
Ahora revisamos nuestra configuración de red (IP:192.168.9.129, netmask:255.255.255.0,
interfaz:ens33)
ifconfig
Colocamos la interfaz en modo promiscuo, para poder luego capturar todo el trafico en la red
Finalmente nos saldrá una opción para reiniciar las configuraciones de snort
Creamos un archivo donde escribiremos las reglas a utilizar para snort, esto se hace en la carpeta
rules
nano /etc/snort/rules/ditc.rules
Estas reglas dicen que cualquier paquete UDP, que vaya desde cualquier red hacia nuestra red,
desde cualquier puerto, que contenga la palabra facebook, youtube, Instagram o twitter generará
una alerta en pantalla o un log dependiendo de la configuración
alert udp any any -> any any (msg:” Está ingresando en facebook”;
content:” facebook”; sid:20000001; rev:1;)
alert udp any any -> any any (msg:” Está ingresando en youtube”;
content:” youtube”; sid:20000002; rev:1;)
alert udp any any -> any any (msg:” Está ingresando en instagram”;
content:” instagram”; sid:20000003; rev:1;)
alert udp any any -> any any (msg:” Está ingresando en twitter”;
content:” twitter”; sid:20000004; rev:1;)
A continuación, editamos el archivo de configuración snort.conf
sudo nano /etc/snort/snort.conf
Utilizamos el comando desde para poner en ejecución snort y ver los resultados
sudo snort -q -A console -c /etc/snort/snort.conf -i ens33
Desde otro equipo en la misma red ingresamos a alguna red social y en el servidor de snort nos
aparecerá las alertas
Continuamos configurando más reglas
https://www.snort.org/documents
https://seguridadyredes.wordpress.com/2009/03/03/snort-
preprocesadores-i-parte/
http://sublimerobots.com/2017/01/snort-2-9-9-x-ubuntu-installing-snort/
http://manual-snort-org.s3-website-us-east-1.amazonaws.com/
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/43100/5/fdeharob
TFM0615memoria.pdf