6
 Guía de Instalación de Snort 2.9.1.2 y Snort Report 1.3.2 en Ubuntu 10.04 En este manual aprenderás como instalar Snort y Snort report en Ubuntu 10.04. Este manual se refiere única y exclusivamente a la instalación y configuración de Snort y Snort Report, así que algunas cosas se tomaran por entendidas, por ejemplo el propósito de Snort como lo es la detección y prevención de intrusos, de igual forma el manejo de comandos Linux, si quieres conocer algunos aspectos teóricos sobre estos temas te recomiendo los siguientes enlaces: http://www.snort.org/  http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos http://es.wikipedia.org/wiki/Snort http://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155  1. Requisitos Previos. Los siguientes paquetes son estrictamente necesarios para la correcta ejecución de este manual: --nmap --nbtscan --apache2 --php5 --php5-mysql --php5-gd --libpcap0.8-dev --libpcre3-dev --g++ --bison --flex --libpcap-ruby --mysql-server --libmysqlclient16-dev Recomendación: *Hacer un apt-get update antes de empezar la instalación de los paquetes. *Instalarlos de forma manual ejemplo: apt-get install nmap *Almacenar la clave que utilice al instalar Mysql. *Reiniciar el equipo después de instalar todos los paquetes. *Ejecutar los comandos con permisos de SuperUsuario. 2. Snor t report. El siguiente paso es descargar Snort Report, lo puedes hacer desde este enlace: http://www.symmetrixtech.com/download.html  luego hay que ubicarnos dentro del directorio que contiene el archivo recién descargado y ejecutamos la siguiente línea: tar zxvf snortreport-1.3 .2.tar .gz -C /var/www/ Luego hay que hacer nano /var/www/snortre port-1.3.2/srcon f.php  buscamos la siguient e linea dent ro de l ar chivo: $pas s = " YOURP ASS"; y la r eemplaz amos por $ pass = " miclave"; Donde miclave Contraseña proporcionada durante la instalación de Mysql. Guardamos los cambios y salimos.

Snort Snort Report

Embed Size (px)

Citation preview

Page 1: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 1/5

Guía de Instalación de Snort 2.9.1.2 y Snort Report 1.3.2 en Ubuntu 10.04

En este manual aprenderás como instalar Snort y Snort report en Ubuntu 10.04.

Este manual se refiere única y exclusivamente a la instalación y configuración de Snort y SnortReport, así que algunas cosas se tomaran por entendidas, por ejemplo el propósito de Snort como lo

es la detección y prevención de intrusos, de igual forma el manejo de comandos Linux, si quieresconocer algunos aspectos teóricos sobre estos temas te recomiendo los siguientes enlaces:

http://www.snort.org/ http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusoshttp://es.wikipedia.org/wiki/Snorthttp://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155 

1. Requisitos Previos.

Los siguientes paquetes son estrictamente necesarios para la correcta ejecución de este manual:

--nmap--nbtscan--apache2--php5--php5-mysql--php5-gd--libpcap0.8-dev--libpcre3-dev--g++

--bison--flex--libpcap-ruby--mysql-server --libmysqlclient16-dev

Recomendación:*Hacer un apt-get update antes de empezar la instalación de los paquetes.*Instalarlos de forma manual ejemplo: apt-get install nmap

*Almacenar la clave que utilice al instalar Mysql.*Reiniciar el equipo después de instalar todos los paquetes.

*Ejecutar los comandos con permisos de SuperUsuario.

2. Snort report.

El siguiente paso es descargar Snort Report, lo puedes hacer desde este enlace:http://www.symmetrixtech.com/download.html luego hay que ubicarnos dentro del directorio quecontiene el archivo recién descargado y ejecutamos la siguiente línea:

tar zxvf snortreport-1.3.2.tar.gz -C /var/www/ 

Luego hay que hacer nano /var/www/snortreport-1.3.2/srconf.php buscamos la siguiente lineadentro del archivo: $pass = "YOURPASS"; y la reemplazamos por $pass = "miclave";

Donde miclave → Contraseña proporcionada durante la instalación de Mysql. Guardamos loscambios y salimos.

http://www.snort.org/
http://www.snort.org/
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.wikipedia.org/wiki/Snort
http://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155
http://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155
http://www.symmetrixtech.com/download.html
http://www.symmetrixtech.com/download.html
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.wikipedia.org/wiki/Snort
http://www.ajpdsoft.com/modules.php?name=news&file=article&sid=155
http://www.symmetrixtech.com/download.html
http://www.snort.org/
Page 2: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 2/5

3. Snort

Descargar e instalar la Data Acquisition Api, lo puedes descargar desde aquí:http://www.snort.org/downloads/1221 

 Nos ubicamos dentro del directorio de descarga y hacemos:tar zxvf daq-0.6.2.tar.gz 

cd daq-0.6.2

 ./configure

make

make install 

Descargar e instalar libdnet, lo puedes descargar desde aquí:http://libdnet.googlecode.com/files/libdnet-1.12.tgz  

 Nos ubicamos dentro del directorio de descarga y hacemos:tar zxvf libdnet-1.12.tgz 

cd libdnet-1.12

 ./configure

make

make install 

ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1

Descargar e instalar SnortLo mas recomendable para este paso es realizar la descarga directamente desde la pagina oficial deSnort: http://www.snort.org/downloads/1207 ahora solo queda instalarlo, nos ubicamos dentro de lacarpeta de descarga y hacemos:

tar zxvf snort-2.9.1.2.tar.gz 

cd snort-2.9.1.2

 ./configure –prefix=/usr/local/snort –enable-sourcefire

make

make install 

mkdir /var/log/snort 

mkdir /var/snort 

 groupadd snort 

useradd -g snort snort 

chown snort:snort /var/log/snort 

Para el siguiente paso sera necesario proporcionar la contraseña de Mysql:

echo "create database snort;" | mysql -u root -p

mysql -u root -p -D snort < ./schemas/create_mysql 

echo "grant create, insert, select, delete, update on snort.* to snort@localhost identified by

' YOURPASSWORD'" | mysql -u root -p

Donde YOURPASSWORD será la clave asignada para el usuario snort recién creado, tú lo puedes

reemplazar por la clave que quieras, eso si guárdala porque se utilizara más adelante.

4. Descargar Reglas de Snort.

http://www.snort.org/downloads/1221
http://libdnet.googlecode.com/files/libdnet-1.12.tgz
http://www.snort.org/downloads/1207
mailto:snort@localhost
mailto:snort@localhost
http://www.snort.org/downloads/1221
http://libdnet.googlecode.com/files/libdnet-1.12.tgz
http://www.snort.org/downloads/1207
mailto:snort@localhost
Page 3: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 3/5

En este paso debemos acceder a la página oficial de Snort y realizar la descarga de las reglas deSnort, https://www.snort.org/snort-rules aquí encontraremos dos secciones la de Subscriber Releasey la de Registered User Release, la diferencia es que en la segunda la descarga es gratuita con 30días de prueba y la primera de paga, eso si hay que estar registrado en la pagina para realizar la

descarga.

Para modo de enseñanza yo utilice el método gratuito y en su versión snortrules-snapshot-2912.tar.gz aunque tu puedes utilizar el que desees, hecho esto solo queda configurarlas, nosubicamos en el directorio que contiene la descarga y hacemos:

tar zxvf snortrules-snapshot-2912.tar.gz -C /usr/local/snort 

cp /usr/local/snort/so_rules/precompiled/Ubuntu-10-4/i386/2.9.1.2/* 

 /usr/local/snort/lib/snort_dynamicrules

--Esta es una sola linea, si el directorio snort_dynamicrules no existe hay que crearlo--

touch /usr/local/snort/rules/white_list.rules

touch /usr/local/snort/rules/black_list.rules

ldconfig 

5. Configurar Snort

Para configurar Snort tenemos que editar el archivo de configuración este se encuentra en /usr/local/snort/etc/snort.conf lo podemos hacer con gedit, nano o vi tú eliges el de tu preferencia.

Buscamos las siguientes líneas:

var WHITE_LIST_PATH /etc/snort/rulesvar BLACK_LIST_PATH /etc/snort/rules

Las reemplazamos por estas:

var WHITE_LIST_PATH /usr/local/snort/rulesvar BLACK_LIST_PATH /usr/local/snort/rules

Buscamos estas otras:dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ 

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.sodynamicdetection directory /usr/local/lib/snort_dynamicrules

Las reemplazamos por estas:

dynamicpreprocessor directory /usr/local/snort/lib/snort_dynamicpreprocessor/ 

dynamicengine /usr/local/snort/lib/snort_dynamicengine/libsf_engine.so

dynamicdetection directory /usr/local/snort/lib/snort_dynamicrules

Debajo de la siguiente línea : #output unified2: filename merged.log, limit 128, nostamp,

mpls_event_types, vlan_event_types

 Ponemos esto: output unified2: filename snort.u2, limit 128

https://www.snort.org/snort-rules
https://www.snort.org/downloads/1321
https://www.snort.org/downloads/1321
https://www.snort.org/snort-rules
https://www.snort.org/downloads/1321
https://www.snort.org/downloads/1321
Page 4: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 4/5

6. Descargar e instalar Barnyard2

Puedes realizar la descarga desde aquí: http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz luego nos ubicamos en la carpeta de descarga y ejecutamos lo siguiente:

tar zxvf barnyard2-1.8.tar.gz 

cd barnyard2-1.8./configure --with-mysql 

make

make install 

cp etc/barnyard2.conf /usr/local/snort/etc

mkdir /var/log/barnyard2

chmod 666 /var/log/barnyard2

touch /var/log/snort/barnyard2.waldo

chown snort.snort /var/log/snort/barnyard2.waldo

Modificamos el archivo de configuración de Barnyard2 , podemos hacerlo con nuestro editor detexto preferido.

nano /usr/local/snort/etc/barnyard2.conf 

Buscamos las siguientes líneas:

config reference_file: /etc/snort/reference.config 

config classification_file: /etc/snort/classification.config 

config gen_file: /etc/snort/gen-msg.map

config sid_file: /etc/snort/sid-msg.map

#config hostname: thor 

#config interface: eth0

#output database: log, mysql, user=root password=test dbname=db host=localhost

Y las reemplazamos por estas:

config reference_file: /usr/local/snort/etc/reference.config 

config classification_file: /usr/local/snort/etc/classification.config 

config gen_file: /usr/local/snort/etc/gen-msg.map

config sid_file: /usr/local/snort/etc/sid-msg.map

config hostname: localhost 

config interface: eth0

output database: log, mysql, user=snort password=YOURPASSWORD dbname=snort 

host=localhost .

Para destacar:* eth0 puede variar dependiendo del equipo donde te encuentres, para comprobar el nombre de tuinterfaz de red puedes escribir en consola: ifconfig 

* YOURPASSWORD deberá ser reemplazado por la contraseña introducida en el paso #3

http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz
http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz
http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz
http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz
Page 5: Snort Snort Report

5/17/2018 Snort Snort Report - slidepdf.com

http://slidepdf.com/reader/full/snort-snort-report 5/5

Probando Snort.

Para probar el correcto funcionamiento de Snort escribimos en consola:

 /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0

eth0 Puede variar dependiendo de tu Máquina, deberíamos ver algo como esto:

“commencing packet processing” damos control-c para cerrar.

Si escribimos en el navegador: http://localhost/snortreport-1.3.2/alerts.php  veremos algo como esto:

 Por último editar el archivo /etc/rc.local y agregar despues de “exit 0” lo siguiente:

ifconfig eth0 up

 /usr/local/snort/bin/snort -D -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0

 /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf -G /usr/local/snort/etc/gen-msg.map -S 

 /usr/local/snort/etc/sid-msg.map -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D

--Esta última es una sola línea-- guardamos el archivo y hacemos: /etc/init.d/rc.local start 

 Listo!!visita http://www.padillanet.org 

 [email protected]  [email protected] 

http://localhost/snortreport-1.3.2/alerts.php
http://localhost/snortreport-1.3.2/alerts.php
http://www.padillanet.org/
mailto:[email protected]
mailto:[email protected]
http://localhost/snortreport-1.3.2/alerts.php
http://www.padillanet.org/
mailto:[email protected]
mailto:[email protected]

Report Resumen

Report Resumen

Documents
Global report

Global report

Documents
Introduccion a Conceptos de IDS y Tecnicas Avanzadas Con Snort

Introduccion a Conceptos de IDS y Tecnicas Avanzadas Con Snort

Documents
Sistemas de Detección de intrusos y Snort

Sistemas de Detección de intrusos y Snort

Documents
Report ASP

Report ASP

Documents
CONOCIENDO - OWASP€¦ · Funcionamiento de Snort Snort permite controlar todos los paquetes que atraviesan la red en la cual se ha instalado. Estos paquetes son analizados y es

CONOCIENDO - OWASP€¦ · Funcionamiento de Snort Snort permite controlar todos los paquetes que atraviesan la red en la cual se ha instalado. Estos paquetes son analizados y es

Documents
Ids Imple Snort

Ids Imple Snort

Documents
Practica 4 herramienta snort entregable

Practica 4 herramienta snort entregable

Education
Snort Desde 0

Snort Desde 0

Documents
CFE report

CFE report

Engineering
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL CENTRO … y... · entrenamiento, se inicia también el IDS/IPS Snort en modo packet sniffer como un servicio más del sistema. Snort escanea

ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL CENTRO … y... · entrenamiento, se inicia también el IDS/IPS Snort en modo packet sniffer como un servicio más del sistema. Snort escanea

Documents
ARSO-M7: Article Snort

ARSO-M7: Article Snort

Technology
COTY ANNUAL REPORT 2020 ANNUAL REPORT

COTY ANNUAL REPORT 2020 ANNUAL REPORT

Documents
Snort Ids/Ips en Appliance Pfsense

Snort Ids/Ips en Appliance Pfsense

Documents
Report V.C

Report V.C

Technology
Una aproximación basada en Snort para el desarrollo e ...dtstc.ugr.es/~gmacia/papers/IEEELA07_SnortBasedApproachPublish… · adicionales para Snort que proporcionan las funcionalidades

Una aproximación basada en Snort para el desarrollo e ...dtstc.ugr.es/~gmacia/papers/IEEELA07_SnortBasedApproachPublish… · adicionales para Snort que proporcionan las funcionalidades

Documents
Actividad No. 6.6: Detección de intrusos con Snort

Actividad No. 6.6: Detección de intrusos con Snort

Education
Snorter - joanbono.github.io · Snorter Guia d'Instal·lació Instal·la Snort + Barnyard2 + PulledPork automàticament @joan_bono

Snorter - joanbono.github.io · Snorter Guia d'Instal·lació Instal·la Snort + Barnyard2 + PulledPork automàticament @joan_bono

Documents
MANAGEMENT REPORT - Indra · Indra • Cuentas Anuales Consolidadas e Informe de Gestión. MANAGEMENT REPORT. Management Report Annual Corporate Governance Report Appendix: • Internal

MANAGEMENT REPORT - Indra · Indra • Cuentas Anuales Consolidadas e Informe de Gestión. MANAGEMENT REPORT. Management Report Annual Corporate Governance Report Appendix: • Internal

Documents
Snort Howto

Snort Howto

Documents
Taller de Sistemas de detección de intrusiones SNORT

Taller de Sistemas de detección de intrusiones SNORT

Documents
Nai Report

Nai Report

Documents
CONOCIENDO - OWASP · PDF file SNORT + KALI + RASPBERRY PI IDS COMPACTO

CONOCIENDO - OWASP · PDF file SNORT + KALI + RASPBERRY PI IDS COMPACTO

Documents
Snort - Analisis de La Herramienta

Snort - Analisis de La Herramienta

Documents
SISTEMA DE MONITORIZACIÓN DEL IDS SNORT

SISTEMA DE MONITORIZACIÓN DEL IDS SNORT

Documents
Fuzzeando Snort con opciones TCP/IP

Fuzzeando Snort con opciones TCP/IP

Documents
Instalar Snort

Instalar Snort

Documents
Manual Snort

Manual Snort

Documents
deteccion de ataques snort

deteccion de ataques snort

Documents
Final Report

Final Report

Documents