INSTALACION Y CONFIGURACION

(NIDS) -SNORT EN UBUNTU

ALFREDO SANCHEZ CONTRERAS

PRESENTADO A: Ing. JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE

SISTEMAS
SAN JOSE DE CUCUTA
2013

INSTALACION Y CONFIGURACION
(NIDS) -SNORT EN UBUNTU

ALFREDO SANCHEZ CONTRERAS

CODIGO: 0152605

PRESENTADO A: Ing. JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE

SISTEMAS
SAN JOSE DE CUCUTA
2013

Sistemas de Deteccin de Intrusos

Qu es un Sistema de Deteccin de iIntrusos?

Un Sistema de Deteccin de Intrusos o IDS (Intrusion Detection System) es una

herramienta de seguridad encargada de monitorizar los eventos que ocurren en un
sistema informtico en busca de intentos de intrusin.

Definimos intento de intrusin como cualquier intento de comprometer la

confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad
de una computadora o red. Las intrusiones se pueden producir de varias
formas: atacantes que acceden a los sistemas desde Internet, usuarios
autorizados del sistema que intentan ganar privilegios adicionales para los
cuales no estn autorizados y usuarios autorizados que hacen un mal uso de
los privilegios que se les han asignado.

Por qu utilizar unIDS?

La deteccin de intrusiones permite a las organizaciones proteger sus sistemas

de las amenazas que aparecen al incrementar la conectividad en red y la
dependencia que tenemos hacia los sistemas de informacin.

Los IDSs han ganado aceptacin como una pieza fundamental en la

infraestructura de seguridad de la organizacin. Hay varias razones para adquirir y
usar un IDS:

Prevenir problemas al disuadir a individuos hostiles.

Detectar ataques y otras violaciones de la seguridad que no son prevenidas
por otras medidas de proteccin.
Detectar prembulos de ataques (normalmente pruebas de red y otras
actividades).
Documentar el riesgo de la organizacin.
Proveer informacin til sobre las intrusiones que se estn produciendo.

Clasificacin de los IDSs

Existen varias formas de clasificar los IDSs:

ESTRATEGIA DE RESPUESTA
Las repuestas las podemos agrupar en dos tipos: pasivas y activas. Las
pasivas envan informes a personas, que se encargarn de tomar acciones al
respecto, si procede. Las activas lanzan automticamente respuestas a dichos
ataques.

Respuestas pasivas

En este tipo de respuestas se notifica al responsable de seguridad de

la organizacin, al usuario del sistema atacado o a algn CERT de lo sucedido.

Respuestas activas

Las respuestas activas son acciones automticas que se toman cuando ciertos
tipos de intrusiones son detectados. Podemos estableces dos categoras distintas:

ENTORNO MONITORIZADO

Un IDS puede monitorizar eventos locales (HIDS) o eventos en una red

(NIDS).

IDSs basados en red (NIDS)

La mayor parte de los sistemas de deteccin de intrusos estn basados en red.

Estos IDSs detectan ataques capturando y analizando paquetes de la red.
Escuchando en un segmento, un NIDS puede monitorizar el trfico que afecta a
mltiples hosts que estn conectados a ese segmento de red, protegiendo as a
estos hosts.

A menudo estn formados por un conjunto de sensores localizados en varios

puntos de la red.

IDSs basados en host (HIDS)

A diferencia de los NIDSs, los HIDSs puede ver el resultado de un intento de

ataque, al igual que pueden acceder directamente y monitorizar los ficheros
de datos y procesos del sistema atacado.

ESTRATEGIA DE DETECCION

Hay dos acercamientos al anlisis de eventos para la deteccin de ataques:

Deteccin de abusos: tcnica usada por la mayora de sistemas
comerciales.
Deteccin de anomalas: el anlisis busca patrones anormales de
actividad, ha sido y contina siendo objeto de investigacin. La deteccin
de anomalas es usada de forma limitada por un pequeo nmero de IDSs.

TECNICA DE ANALISIS
Sistemas basados en el conocimiento

Basados en reglas de tipo if-then-else, si algn evento captado del entorno

satisface todas las precondiciones de una regla, esta se disparara.

Anlisis de Firmas

Observa la ocurrencia de cadenas especiales en los eventos monitorizados por

el IDS y los compara con los almacenados en una base de datos con firmas
de ataques.

Anlisis de transicin de estados

Se trata de autmatas _nitos que a travs de transiciones basadas en los estados

de seguridad del sistema, intentan modelar el proceso de una intrusin. Cuando el
autmata alcanza un estado considerado de peligro lanza una alerta.

Sistemas basados en mtodos estadsticos

Se basan en modelizar el comportamiento de los usuarios en base a

mtricas extradas (estrategia de deteccin de anomalas) de los registros de
auditoras del sistema. Una caracterstica clsica de estos sistemas es el
establecimiento de perfiles para los distintos usuarios del sistema.

Sistemas basados en aprendizaje automtico:

Se trata de sistemas que realizan uso de tcnicas que no necesitan intervencin

humana para extraer los modelos que representan o bien ataques, o bien el uso
legitimo del sistema.

Dnde colocar un IDS?

La decisin de donde localizar el IDS es la primera decisin que hay que tomar
una vez que estamos dispuestos a instalar un IDS. De esta decisin depender
tanto el equipo que usemos, como el software IDS o la base de datos.

Organizacin

Existen principalmente tres zonas en las que podramos poner un sensor, tal y
como muestra la figura 1:

ISP

Qu ocurre ahora si nuestra organizacin es un ISP?. Es posible que el trfico a

la entrada de este ISP sea demasiado grande como para ser tcnicamente
imposible instalar un nico IDS que lo analice todo. Para estos casos es
necesario un sistema de deteccin de intrusos que pueda separar los sensores de
la estacin de anlisis. Una posible solucin podra ser la de instalar un sensor
en cada uno de los nodos que conectan fsicamente con las organizaciones a las
que da servicio el ISP, y que estos sensores enven las alertas generadas a la
estacin de anlisis (ver figura 2).

SNORT
Snort es una completa herramienta de seguridad basada en cdigo abierto para la
creacin de sistemas de deteccin de intrusos en entornos de red. Cuenta con una
gran popularidad entre la comunidad de administradores de redes y servicios.
Gracias a su capacidad para la captura y registro de paquetes en redes TCP/IP,
Snort puede ser utilizado para implementar desde un simple sniffer de paquetes
para la monitorizacin del trafico de una pequea red, hasta un completo sistema
de deteccin de intrusos en tiempo real.

Podemos definir Snort como un sniffer de paquetes con funcionalidades

adicionales para el registro de estos, generacin de alertas y un motor de
deteccin basado en usos indebidos.
Arquitectura de Snort
Caractersticas

La captura del trfico de red

El anlisis y registro de los paquetes capturados
Deteccin de trfico malicioso o deshonesto.

Tanto el preprocesador como el motor de deteccin y los componentes para la

notificacin de alertas son todos plug-ins de Snort. Un plug-in es una aplicacin
desarrollada conforme la API de plug-ins de Snort.
Decodificador de paquetes
Un sniffer es un dispositivo (software o hardware) que se utiliza para poder
capturar los paquetes que viajan por la red a la que es asociado.

El decodificador de paquetes de Snort sera el elemento encargado de recoger los

paquetes que mas adelante seran examinados y clasificados por el resto de
componentes. Para ello, el decodificador de paquetes debera ser capaz de
capturar todo aquel trafico que le sea posible

Preprocesador
el preprocesador ira obteniendo paquetes sin tratar (raw paquets) y los verificara
mediante un conjunto de plug-ins (como, por ejemplo, el plug-in para llamadas
RPC o el plug-in de escaneo de puertos). Estos plug-ins verificaran los paquetes
en busca de ciertos comportamientos en estos que le permita determinar su tipo.

Motor de deteccin
El motor de deteccin es el corazn de Snort desde el punto de vista de sistema
de deteccin de intrusos. A partir de la informacin proporcionada por el
preprocesador y sus
plug-ins asociados, el motor de deteccin contrasta estos datos con su base de
reglas.
Si alguna de las reglas coincide con la informacin obtenida, el motor de deteccin
se encargar de avisar al sistema de alertas indicando la regla que ha saltado.

Como ya adelantbamos, el motor de deteccin de Snort se basa en una

deteccin de usos indebidos a travs de un reconocimiento de firmas de ataque.
Para ello, el motor de deteccin hace uso de los conjuntos de reglas asociados a
Snort. Estos conjuntos de reglas estn agrupados por categoras (troyanos, buffer
overflows, ataques contra servicios web,
etc.) y deben ser actualizados a menudo.

Sistema de alertas e informes

Mediante este componente ser posible realizar esta funcin, pudiendo generar
los resultados en distintos formatos y hacia distintos equipos.
Cuando una alerta es lanzada por el motor de deteccin, esta alerta puede
suponer la generacin de un fichero de registro (log), ser enviada a travs de la
red mediante un mensaje SNMP o incluso ser almacenada de forma estructurada
por algn sistema gestor de basede datos como, por ejemplo, MySQL o Postgres.

Acid Base
Conjunto de scripts escritos en PHP que proporcionan una interfaz entre un
navegador web y la base de datos donde Snort ira almacenando las alertas.

INSTALACION Y CONFIGURACION DE SNORT EN UBUNTU

1. Instalacin de apache
sudo apt-get install apache2

2. Reiniciar apache
sudo /etc/init.d/apache2 restart

3. Instalar mysql- server

sudo apt-get install mysql-server

4. instalar ph5 php5-mysql

sudo apt-get install ph5 php5-mysql

5. configurar info.php
sudo gedit/var/www/info.php

Verificar info.php

6. instalar snort-mysql y snort-doc acidbase

sudo apt-get install snort-mysql snort-doc acidbase
Configuracin de snort-mysql

configuracion de acidbase

7. crear el usuario snort

Mysql u root h localhost p
create user snort@localhost identified by alfredo;

8. Crear la base de datos snort, y asignar privilegios

create database snort;

9. configuracin de snort-mysql

10. reiniciar y editar snort .conf

sudo gedit /etc/snort/snort.conf

11. editar database.php

sudo gedit /etc/acidbase/database.php

12. Reiniciar apache y snort

13. verificar en el navegador acidbase

14. ejecutar snort

snort v

15. configuracin de las reglas.

Se van a configurar 3 reglas: http, lectura de puertos con nessus, y ping

Luego editamos snort.conf, para agregar la regla creada anteriormente.

y comentamos todas las dems reglas, para que solo funcione la nuestra.

Corremos snort nuevamente:

Verificamos que funcionen las reglas: para este caso, http, y la de ping