6
 Guía de Instalación de Snort 2.9.1.2 y Snort Report 1.3.2 en Ubuntu 10.04 En este manual aprenderás como instalar Snort y Snort report en Ubuntu 10.04. Este manual se refiere única y exclusivamente a la instalación y configuración de Snort y Snort Report, así que algunas cosas se tomaran por entendidas, por ejemplo el propósito de Snort como lo es la detección y prevención de intrusos, de igual forma el manejo de comandos Linux, si quieres conocer algunos aspectos teóricos sobre estos temas te recomiendo los siguientes enlaces: http://www.snort.org/  http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos http://es.wikipedia.org/wiki/Snort http://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155  1. Requisitos Previos. Los siguientes paquetes son estrictamente necesarios para la correcta ejecución de este manual: --nmap --nbtscan --apache2 --php5 --php5-mysql --php5-gd --libpcap0.8-dev --libpcre3-dev --g++ --bison --flex --libpcap-ruby --mysql-server --libmysqlclient16-dev Recomendación: *Hacer un apt-get update antes de empezar la instalación de los paquetes. *Instalarlos de forma manual ejemplo: apt-get install nmap *Almacenar la clave que utilice al instalar Mysql. *Reiniciar el equipo después de instalar todos los paquetes. *Ejecutar los comandos con permisos de SuperUsuario. 2. Snor t report. El siguiente paso es descargar Snort Report, lo puedes hacer desde este enlace: http://www.symmetrixtech.com/download.html  luego hay que ubicarnos dentro del directorio que contiene el archivo recién descargado y ejecutamos la siguiente línea: tar zxvf snortreport-1.3 .2.tar .gz -C /var/www/ Luego hay que hacer nano /var/www/snortre port-1.3.2/srcon f.php  buscamos la siguient e linea dent ro de l ar chivo: $pas s = " YOURP ASS"; y la r eemplaz amos por $ pass = " miclave"; Donde miclave Contraseña proporcionada durante la instalación de Mysql. Guardamos los cambios y salimos.

Snort Snort Report

Embed Size (px)

Citation preview

Page 1: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 1/5

Guía de Instalación de Snort 2.9.1.2 y Snort Report 1.3.2 en Ubuntu 10.04

En este manual aprenderás como instalar Snort y Snort report en Ubuntu 10.04.

Este manual se refiere única y exclusivamente a la instalación y configuración de Snort y SnortReport, así que algunas cosas se tomaran por entendidas, por ejemplo el propósito de Snort como lo

es la detección y prevención de intrusos, de igual forma el manejo de comandos Linux, si quieresconocer algunos aspectos teóricos sobre estos temas te recomiendo los siguientes enlaces:

http://www.snort.org/ http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusoshttp://es.wikipedia.org/wiki/Snorthttp://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155 

1. Requisitos Previos.

Los siguientes paquetes son estrictamente necesarios para la correcta ejecución de este manual:

--nmap--nbtscan--apache2--php5--php5-mysql--php5-gd--libpcap0.8-dev--libpcre3-dev--g++

--bison--flex--libpcap-ruby--mysql-server --libmysqlclient16-dev

Recomendación:*Hacer un apt-get update antes de empezar la instalación de los paquetes.*Instalarlos de forma manual ejemplo: apt-get install nmap

*Almacenar la clave que utilice al instalar Mysql.*Reiniciar el equipo después de instalar todos los paquetes.

*Ejecutar los comandos con permisos de SuperUsuario.

2. Snort report.

El siguiente paso es descargar Snort Report, lo puedes hacer desde este enlace:http://www.symmetrixtech.com/download.html luego hay que ubicarnos dentro del directorio quecontiene el archivo recién descargado y ejecutamos la siguiente línea:

tar zxvf snortreport-1.3.2.tar.gz -C /var/www/ 

Luego hay que hacer nano /var/www/snortreport-1.3.2/srconf.php buscamos la siguiente lineadentro del archivo: $pass = "YOURPASS"; y la reemplazamos por $pass = "miclave";

Donde miclave → Contraseña proporcionada durante la instalación de Mysql. Guardamos loscambios y salimos.

Page 2: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 2/5

3. Snort

Descargar e instalar la Data Acquisition Api, lo puedes descargar desde aquí:http://www.snort.org/downloads/1221 

 Nos ubicamos dentro del directorio de descarga y hacemos:tar zxvf daq-0.6.2.tar.gz 

cd daq-0.6.2

 ./configure

make

make install 

Descargar e instalar libdnet, lo puedes descargar desde aquí:http://libdnet.googlecode.com/files/libdnet-1.12.tgz  

 Nos ubicamos dentro del directorio de descarga y hacemos:tar zxvf libdnet-1.12.tgz 

cd libdnet-1.12

 ./configure

make

make install 

ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1

Descargar e instalar SnortLo mas recomendable para este paso es realizar la descarga directamente desde la pagina oficial deSnort: http://www.snort.org/downloads/1207 ahora solo queda instalarlo, nos ubicamos dentro de lacarpeta de descarga y hacemos:

tar zxvf snort-2.9.1.2.tar.gz 

cd snort-2.9.1.2

 ./configure –prefix=/usr/local/snort –enable-sourcefire

make

make install 

mkdir /var/log/snort 

mkdir /var/snort 

 groupadd snort 

useradd -g snort snort 

chown snort:snort /var/log/snort 

Para el siguiente paso sera necesario proporcionar la contraseña de Mysql:

echo "create database snort;" | mysql -u root -p

mysql -u root -p -D snort < ./schemas/create_mysql 

echo "grant create, insert, select, delete, update on snort.* to snort@localhost identified by

' YOURPASSWORD'" | mysql -u root -p

Donde YOURPASSWORD será la clave asignada para el usuario snort recién creado, tú lo puedes

reemplazar por la clave que quieras, eso si guárdala porque se utilizara más adelante.

4. Descargar Reglas de Snort.

Page 3: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 3/5

En este paso debemos acceder a la página oficial de Snort y realizar la descarga de las reglas deSnort, https://www.snort.org/snort-rules aquí encontraremos dos secciones la de Subscriber Releasey la de Registered User Release, la diferencia es que en la segunda la descarga es gratuita con 30días de prueba y la primera de paga, eso si hay que estar registrado en la pagina para realizar la

descarga.

Para modo de enseñanza yo utilice el método gratuito y en su versión snortrules-snapshot-2912.tar.gz aunque tu puedes utilizar el que desees, hecho esto solo queda configurarlas, nosubicamos en el directorio que contiene la descarga y hacemos:

tar zxvf snortrules-snapshot-2912.tar.gz -C /usr/local/snort 

cp /usr/local/snort/so_rules/precompiled/Ubuntu-10-4/i386/2.9.1.2/* 

 /usr/local/snort/lib/snort_dynamicrules

--Esta es una sola linea, si el directorio snort_dynamicrules no existe hay que crearlo--

touch /usr/local/snort/rules/white_list.rules

touch /usr/local/snort/rules/black_list.rules

ldconfig 

5. Configurar Snort

Para configurar Snort tenemos que editar el archivo de configuración este se encuentra en /usr/local/snort/etc/snort.conf lo podemos hacer con gedit, nano o vi tú eliges el de tu preferencia.

Buscamos las siguientes líneas:

var WHITE_LIST_PATH /etc/snort/rulesvar BLACK_LIST_PATH /etc/snort/rules

Las reemplazamos por estas:

var WHITE_LIST_PATH /usr/local/snort/rulesvar BLACK_LIST_PATH /usr/local/snort/rules

Buscamos estas otras:dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.sodynamicdetection directory /usr/local/lib/snort_dynamicrules

Las reemplazamos por estas:

dynamicpreprocessor directory /usr/local/snort/lib/snort_dynamicpreprocessor/ 

dynamicengine /usr/local/snort/lib/snort_dynamicengine/libsf_engine.so

dynamicdetection directory /usr/local/snort/lib/snort_dynamicrules

Debajo de la siguiente línea : #output unified2: filename merged.log, limit 128, nostamp,

mpls_event_types, vlan_event_types

 Ponemos esto: output unified2: filename snort.u2, limit 128

Page 4: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 4/5

6. Descargar e instalar Barnyard2

Puedes realizar la descarga desde aquí: http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz luego nos ubicamos en la carpeta de descarga y ejecutamos lo siguiente:

tar zxvf barnyard2-1.8.tar.gz 

cd barnyard2-1.8./configure --with-mysql 

make

make install 

cp etc/barnyard2.conf /usr/local/snort/etc

mkdir /var/log/barnyard2

chmod 666 /var/log/barnyard2

touch /var/log/snort/barnyard2.waldo

chown snort.snort /var/log/snort/barnyard2.waldo

Modificamos el archivo de configuración de Barnyard2 , podemos hacerlo con nuestro editor detexto preferido.

nano /usr/local/snort/etc/barnyard2.conf 

Buscamos las siguientes líneas:

config reference_file: /etc/snort/reference.config 

config classification_file: /etc/snort/classification.config 

config gen_file: /etc/snort/gen-msg.map

config sid_file: /etc/snort/sid-msg.map

#config hostname: thor 

#config interface: eth0

#output database: log, mysql, user=root password=test dbname=db host=localhost

Y las reemplazamos por estas:

config reference_file: /usr/local/snort/etc/reference.config 

config classification_file: /usr/local/snort/etc/classification.config 

config gen_file: /usr/local/snort/etc/gen-msg.map

config sid_file: /usr/local/snort/etc/sid-msg.map

config hostname: localhost 

config interface: eth0

output database: log, mysql, user=snort password=YOURPASSWORD dbname=snort 

host=localhost .

Para destacar:* eth0 puede variar dependiendo del equipo donde te encuentres, para comprobar el nombre de tuinterfaz de red puedes escribir en consola: ifconfig 

* YOURPASSWORD deberá ser reemplazado por la contraseña introducida en el paso #3

Page 5: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 5/5

Probando Snort.

Para probar el correcto funcionamiento de Snort escribimos en consola:

 /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0

eth0 Puede variar dependiendo de tu Máquina, deberíamos ver algo como esto:

“commencing packet processing” damos control-c para cerrar.

Si escribimos en el navegador: http://localhost/snortreport-1.3.2/alerts.php  veremos algo como esto:

 Por último editar el archivo /etc/rc.local y agregar despues de “exit 0” lo siguiente:

ifconfig eth0 up

 /usr/local/snort/bin/snort -D -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0

 /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf -G /usr/local/snort/etc/gen-msg.map -S 

 /usr/local/snort/etc/sid-msg.map -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D

--Esta última es una sola línea-- guardamos el archivo y hacemos: /etc/init.d/rc.local start 

 Listo!!visita http://www.padillanet.org 

 [email protected]  [email protected]