Sg t2 practicas_snort

795 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
795
On SlideShare
0
From Embeds
0
Number of Embeds
12
Actions
Shares
0
Downloads
34
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sg t2 practicas_snort

  1. 1. qwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwer Practica Snort entyuiopasdfghjklzxcvbnmqwerty Linuxuiopasdfghjklzxcvbnmqwertyui Seguridad Trimestre 1 2ºASIRopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopas Débora García Garcíadfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqwertyuiopasdfghjklzxcvbnmqw
  2. 2. Seguridad Trimestre 1 Débora García GarcíaÍndiceIntroducción ............................................................................................................................. 2Instalación Lamp Server ............................................................................................................ 2Crear la base de datos de Snort ................................................................................................. 3Instalación de Snort .................................................................................................................. 3Configuración de Snort ............................................................................................................. 4Instalación de ACID ................................................................................................................... 7Configuración de Acid Base ....................................................................................................... 8Comprobación test IDS ............................................................................................................. 9 1
  3. 3. Seguridad Trimestre 1 Débora García GarcíaIntroducciónUn sistema de detección de intrusos (IDS) inspecciona toda la actividad de red entrante ysaliente e identifica patrones sospechosos que pueden indicar una red o un ataque al sistemade una persona que intente entrar o comprometer un sistema.Un IDS se diferencia de un cortafuegos en que el IDS es un servidor de seguridad queinspecciona el tráfico y las paradas que basado en las reglas especificado por el usuario. UnIDS por otro lado, inspecciona y evalúa el tráfico para determinar si es sospechoso. El IDSpuede generar alertas basadas en el análisis.Existen varios lugares donde un IDS se puede implementar. Un escenario por ejemplopodría ser un IDS en la parte delantera del firewall y un IDS detrás del firewall. Esto lepermitirá saber lo que el tráfico sospechoso que viene en la red de área extensa (WAN) y loque el tráfico sospechoso que a través del firewall.Para facilitar la visualización de los datos relacionados con Snort, vamos a instalar tambiénun front-end basado en web. La consola de análisis de detección de intrusiones (ACID)servirá para este propósito.Instalación Lamp ServerAntes de instalar Snort tenemos que instalar el paquete de LAMP (Linux, Apache, Mysql, Php),es un conjunto de subsistemas de software necesarios para configurar sitios web o servidoresdinámicos.Apt-get install –y taskselTaskselSelecciona LAMP serverContraseña de Mysql 2
  4. 4. Seguridad Trimestre 1 Débora García GarcíaAhora probamos que funciona apache, desde el navegador:Crear la base de datos de SnortPara ello accedemos a mysql: Mysql –u root –pCreamos la base de datos:Ahora tenemos que dar privilegios al usuario snort:Guardamos los cambios:Instalación de Snort Apt-get install snort-mysql 3
  5. 5. Seguridad Trimestre 1 Débora García GarcíaConfiguración de SnortAhora tenemos que volcar el contenido de las tablas de mysql a mysql. Actualizando la base dedatos con la estructura de la tabla snort, vamos a la ruta: cd /usr/share/doc/snort-mysqlLuego ejecutamos zcat create_mysql.gz | mysql –u usuario–p usuarioVamos a ver que las tablas se han creado: 4
  6. 6. Seguridad Trimestre 1 Débora García GarcíaModificamos el archivo de configuración de snort, en el incluimos información específica demysql:Esta línea se encuetra en /etc/snort/snort.conf. Lo que hace es colocar un comentario enfrentede la salida para el registro y añade la línea de salida para la base de datos.Tenemos que quitar un archivo de la configuración de la base de datos snort:Iniciamos el servicio Snort: /etc/init.d/snort startTenemos un error, vamos al archivo “/etc/snort/snort.conf” y vamos a copiar la línea quecontiene datos importantes de la base de datos y luego la borramos de este archivo: 5
  7. 7. Seguridad Trimestre 1 Débora García GarcíaY la pegamos en el archivo “database.conf”, está en el mismo directorio, sustituye por la líneaque viene con unos datos por defecto:Volvemos a iniciar el servicio Snort: /etc/init.d/snort startVamos a ver en el log que el archivo funciona: 6
  8. 8. Seguridad Trimestre 1 Débora García GarcíaInstalación de ACIDEste servicio es una interfaz para poder visualizar los registros de Snort almacenados en la basede datos. Apt-get –y install acidbaseLa contraseña ha de ser la misma tanto para el usuario que creamos anteriormente de la basede datos como en esta configuración de Acidbase, porque si no es la misma tendríamos quemodificaciones en los archivos de acidbase. (database.php y base_conf.php) 7
  9. 9. Seguridad Trimestre 1 Débora García GarcíaConfiguración de Acid BaseNos dirigimos al navegador: localhost/acidbaseHacer click setup page.Hacer click Create Base AG 8
  10. 10. Seguridad Trimestre 1 Débora García GarcíaCon este paso hemos creado tablas adicionales en la base de datos Snort pero confuncionalidad de acidbase.*Si queremos por ejemplo filtrar ciertas IP’s tendríamos que configurar el archivo“/etc/acidbase/apache.conf”, después reinicias el servidor apache para aplicar estos cambios.Comprobación test IDSVamos a probar Snort y Acidbase realizando un escaneo de puertos. Instalamos: Apt-get install nmapLos ataques a nuestra red podrán hacerse de la siguiente manera:(Claro que nosotros el ataque lo haremos entre dos máquinas virtuales) 9
  11. 11. Seguridad Trimestre 1 Débora García GarcíaAsí se ve por la interfaz. 10

×