Escolar Documentos
Profissional Documentos
Cultura Documentos
INSTALACION Y CONFIGURACION
(NIDS) -SNORT EN UBUNTU
ESTRATEGIA DE RESPUESTA
Las repuestas las podemos agrupar en dos tipos: pasivas y activas. Las
pasivas envan informes a personas, que se encargarn de tomar acciones al
respecto, si procede. Las activas lanzan automticamente respuestas a dichos
ataques.
Respuestas pasivas
Respuestas activas
Las respuestas activas son acciones automticas que se toman cuando ciertos
tipos de intrusiones son detectados. Podemos estableces dos categoras distintas:
ENTORNO MONITORIZADO
ESTRATEGIA DE DETECCION
TECNICA DE ANALISIS
Sistemas basados en el conocimiento
Anlisis de Firmas
La decisin de donde localizar el IDS es la primera decisin que hay que tomar
una vez que estamos dispuestos a instalar un IDS. De esta decisin depender
tanto el equipo que usemos, como el software IDS o la base de datos.
Organizacin
Existen principalmente tres zonas en las que podramos poner un sensor, tal y
como muestra la figura 1:
ISP
SNORT
Snort es una completa herramienta de seguridad basada en cdigo abierto para la
creacin de sistemas de deteccin de intrusos en entornos de red. Cuenta con una
gran popularidad entre la comunidad de administradores de redes y servicios.
Gracias a su capacidad para la captura y registro de paquetes en redes TCP/IP,
Snort puede ser utilizado para implementar desde un simple sniffer de paquetes
para la monitorizacin del trafico de una pequea red, hasta un completo sistema
de deteccin de intrusos en tiempo real.
Preprocesador
el preprocesador ira obteniendo paquetes sin tratar (raw paquets) y los verificara
mediante un conjunto de plug-ins (como, por ejemplo, el plug-in para llamadas
RPC o el plug-in de escaneo de puertos). Estos plug-ins verificaran los paquetes
en busca de ciertos comportamientos en estos que le permita determinar su tipo.
Motor de deteccin
El motor de deteccin es el corazn de Snort desde el punto de vista de sistema
de deteccin de intrusos. A partir de la informacin proporcionada por el
preprocesador y sus
plug-ins asociados, el motor de deteccin contrasta estos datos con su base de
reglas.
Si alguna de las reglas coincide con la informacin obtenida, el motor de deteccin
se encargar de avisar al sistema de alertas indicando la regla que ha saltado.
Acid Base
Conjunto de scripts escritos en PHP que proporcionan una interfaz entre un
navegador web y la base de datos donde Snort ira almacenando las alertas.
1. Instalacin de apache
sudo apt-get install apache2
2. Reiniciar apache
sudo /etc/init.d/apache2 restart
5. configurar info.php
sudo gedit/var/www/info.php
Verificar info.php
configuracion de acidbase
9. configuracin de snort-mysql
Verificamos que funcionen las reglas: para este caso, http, y la de ping