If you can't read please download the document
Upload
josue-monterroza
View
31
Download
3
Embed Size (px)
Citation preview
INSTALACION Y CONFIGURACION DE SNORT
- VISUALIZACION: ACID BASE
2012
Javier Garca Cambronel SEGUNDO DE ASIR
01/03/2012
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 1
INTRODUCCIN
QU ES SNORT Y QU ES ACID?
PREREQUISITOS PARA SNORT CON ACID
INSTALAMOS SNORT Y ACID BASE
ANLISIS DE VULNERABILIDADES Y SU
DETECCION
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 2
INTRODUCCIN
Este documento trata de describir los pasos a realizar para la instalacin y configuracin de
un sistema de deteccin de intrusiones. Durante la escritura del documento dar algunos
pasos por sabidos o ya realizados, para cualquier duda recomiendo consultar la
documentacin oficial de las aplicaciones a configurar.
QU ES SNORT Y QU ES ACID?
SNORT
Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que ofrece capacidades de
almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos
abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de
puertos que permite registrar, alertar y responder ante cualquier anomala previamente
definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real
(ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.
Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente
maliciosas y las almacena en un registro formateado, as, Snort utiliza la biblioteca estndar
libcap y tcpdump como registro de paquetes en el fondo. Puede funcionar como sniffer
(podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo nuestro trfico),
registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un
anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con
algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de
dnde y cmo se produjo el ataque. La caracterstica ms apreciada de Snort, adems de su
funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos
de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar
a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de
los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as
todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha
convertido a Snort en uno de los IDSes basados en red ms populares, actualizados y
robustos. Resulta imprescindible tomar ms medidas complementarias al amparo de esta
alarma que salta. Un cortafuego aadido aporta en conjunto una seguridad bastante
aceptable.
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 3
PROPORCIONA TRES FUNCIONES ESENCIALES DE SEGURIDAD
MONITORIZAN:
Esto es, el IDS mantiene siempre un ojo en la red, observando y escudriando eltrfico en
busca de cualquier paquete susceptible de contener cdigo no deseado. Quvisita quin y
cundo lo hace en nuestra red, quin viene desde el exterior y qubusca... etc. En este
sentido acta exactamente igual que un sniffer. De hecho, cabe laposibilidad de utilizarlos
como tal.
DETECTAN:
Usan polticas (totalmente configurables) para definir los actos sospechosos de todo ese
trfico que provocar una alarma si ocurren. Los patrones se pueden actualizar cada cierto
tiempo si se descubren nuevos tipos de ataques.
RESPONDEN:
Esta alarma puede venir en forma de archivos en el sistema, pginas html dinmicas con
grficos o incluso correos con la informacin necesaria. Tambin podra incluir la expulsin
de un usuario del sistema... etc. A la hora de realizar labores de forense (tras un ataque,
determinar el alcance, evaluar los daos, e Intentar cazar al autor) resulta de gran ayuda. Un
elaborado registro de las incidencias ocurridas en la red, con el contenido de los paquetes de
cada "visita" resulta imprescindible para realizar una buena labor de investigacin, Pero para
ello, no se pueden alojar los logs dentro de la propia mquina. Todos sabemos lo sencillo
que resulta borrarlos si un atacante llega a tener el control de servidor. Lo mejor es instalar
una base de datos en un sistema remoto que almacene los registros ordenadamente, y de
esta forma, tambin puedan ser consultados de manera sencilla.
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 4
ACID
ACID (Analysis Console for Intrussion Databases) es una interface web desarrollada en
lenguaje PHP, que nos muestra los registros guardados por Snort. Snort puede guardarlos en
una base de datos o en simples ficheros de texto (por ejemplo syslog)... si queremos usar
ACID para visualizar sus efectos, deberemos usar MySQL como almacn para los logs
recogidos por Snort.
PREREQUISITOS PARA SNORT CON ACID
SERVIDOR WEB
ACID es una interface web, por lo que partimos de la base de que el sistema operativo sobre
el que esta funcionando tiene instalado un servidor web, en mi caso particular (y para las
explicaciones de este documento) es un APACHE.
BASE DE DATOS
Snort debe dejar los logs en una base de datos si queremos poderlos visualizar con ACID, por
lo que previamente necesitamos una base de datos, como por ejemplo MySQL.
Aunque tambin podemos hacerlo con PosgreSQL, Oracle y alguna otra ms... yo lo he hecho
con MySQL, como muestro en el documento.
Lo primero que debemos hacer es instalar apache en Ubuntu, en mi caso en Ubuntu 11.04
SOPORTE PHP
Si queremos poder usar ACID como interfaz web para visualizar los logs de Snort, debemos
dar soporte para PHP en nuestro servidor web.
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 5
INSTALACION SERVIDOR WEB
sudo apt-get install apache2
Una vez que hayamos introducido nuestra contrasea si nos la pide nos pedir una
confirmacin y comenzar la instalacin comenzar la instalacin
Esto instalar Apache 2 y todas sus dependencias, ahora nos dirigiremos al directorio
/etc/apache2/ donde nos encontraremos con una serie de archivos, el archivo apache2.conf
es el archivo principal de configuracin de nuestro apache, no lo modificaremos por el
momento.
Tambin podemos encontrar el archivo httpd.conf, este archivo esta vaco y as lo
dejaremos, su fin es simplemente garantizar compatibilidad con versiones anteriores de
apache.
Reiniciemos apache:
sudo /etc/init.d/apache2 restart
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 6
PODEMOS VERLO TANTO DE FORMA LOCAL
COMO EXTERNA
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 7
INSTALACION DE UNA GESTOR DE BASE DE DATOS (MYSQL)
sudo apt-get install mysql-server
Una vez ejecutado el comando se nos pedir la confirmacin pertinente como en anteriores
ocasiones y confirmaramos veramos el progreso y se nos presentara la siguiente ventana en
la que tendramos que introducir la contrasea para acceder como root a mysql o dejarlo sin
contrasea, NO RECOMENDADO
Esto instalara mysql server 5.0, el cliente mysql y todas sus dependencias. Para asegurarnos
que todo ha salido bien podemos ejecutar en una terminal:
Mysql unombredeusuario -pcontrasea
[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012
SEGUNDO DE ASIR Pgina 8
SOPORTE PHP PARA NUESTRO SERVIDOR Y GESTOR DE BASES
DE DATOS
sudo apt-get install php5 php5-mysql
Despus de ingresar este comando si se nos pide la contrasea la metemos y nos saldr una
advertencia de si queremos continuar la instalacin de dicho paquete y lo confirmamos.
Despus de esto veremos como comienza la instalacin de cada uno de los paquetes
Y veremos como todo esto se ha llevado a cabo sin ningn problema