Autor: Victoriano Sevillano Vega

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Qu es SNORT?
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap...

Ejecucin de la prctica:
Vamos a instalar todos los paquetes que vamos a necesitar, que son:

En otras prcticas hemos visto como instalar apache, mysql, php, phpadmin, asi que vamos con snort. Lo nico que nos va a pedir es la red en la que va a operar, asi que le diremos:

2|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Una vez tengamos todos estos paquetes instalados, tendremos que instalar un ltimo paquete, el cual podemos encontrar en:
http://ftp.us.debian.org/debian/pool/main/a/acidbase/acidbase_1.4.5-2_all.deb

Ya tenemos el paquete descargado, ahora vamos a instalarlo, para ello: #dpkg i acidbase_1.4.5-2_all.deb Si nos faltara algn paquete, ejecutar apt-get install f

3|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Ahora, si probamos en el navegador a acceder a acidbase, nos dar error, pues necesita algunas configuraciones aun:

Comentaremos la siguiente lnea en el archivo apache.conf:

Reiniciamos apache, y probamos de nuevo. Puede que tengamos ahora el siguiente problema: Lo nico que tuve que hacer fue ver el archivo /etc/acidbase/database.php y ver si estaban bien puestos los campos que se me indicaban.

4|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Creacin de la base de datos snort

Configuracin de snort
Vamos a dirigirnos a /usr/share/doc/snort-mysql y ejecutaremos el script crate_mysql.gz en la base de datos que creamos (snort).

Ahora, si vemos la base de datos, contendr las tablas creadas por el script:

5|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

An nos queda modificar el archivo /etc/snort/database.conf: Editaremos la siguiente lnea:

6|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Ademas, comentamos la siguiente lnea en snort.conf:

Reiniciamos el servicio:

. Ahora, ya podemos ejecutar snort:

7|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Vemos que no ha funcionado, por tanto, tendremos que reconfigurar snort: #dpkg-reconfigure snort-mysql

8|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

9|Pgina

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Una vez reconfigurado, probamos con el nmap:

10 | P g i n a

Curso:ASIR 2 Mdulo: seguridad

Autor: Victoriano Sevillano Vega

Probamos de nuevo y

11 | P g i n a