Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Actividad Práctica SNORT

    Enviado por

    Raul Martinez Lara
    282 visualizações9 páginas
    Ejercicio Snort

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Ejercicio Snort

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    282 visualizações9 páginas

    Actividad Práctica SNORT

    Enviado por

    Raul Martinez Lara
    Ejercicio Snort

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 9

    Universidad Nacional Autnoma de Mxico

    Facultad de Contadura y Administracin


    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    Actividad No. 6.6: Deteccin de intrusos


    con Snort
    Antecedentes
    Snort es un Sistema de Deteccin de Intrusiones (IDS), capaz de ejecutar
    anlisis de trfico y autentificacin de paquetes en tiempo real en redes
    TCP/IP. Snort realiza exploracin al contenido de paquetes y puede
    usarse para detectar una variedad de ataques y pruebas de intrusin
    como escaneo de puertos, ataques DoS, etc.

    Objetivo
    Realizar la instalacin y configuracin del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7.

    Requisitos
    Los pasos descritos en esta prctica asumen que se tiene instalado el sistema operativo CentOS 7
    1
    x86_64 en su versin mnima. El iso se encuentra disponible en la pgina del proyecto CentOS .

    Instrucciones
    Esta prctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la
    instalacin de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos
    necesarios para realizar de forma exitosa la configuracin bsica de Snort.

    1
    http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso

    Elabor: Francisco Medina Lpez 1


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    Parte 1: Instalacin de Snort


    Para realizar la instalacin de la versin Snort 2.9 sobre el sistema operarito Centos 7x66_64 en
    su versin mnima realizar los siguientes pasos:

    1. Actualizar el sistema operativo con el comando: yum update




    2. Instalar el paquete wget con el comando: yum y install wget

    Elabor: Francisco Medina Lpez 2


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    3. Instalar el paquete daq con los siguientes comandos:


    a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm

    b. rpm -Uvh cert-forensics-tools-release-el7.rpm

    Elabor: Francisco Medina Lpez 3


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    4. Instalar el paquete Snort con el comando:

    yum -y install https://www.snort.org/downloads/snort/snort-2.9.7.2-


    1.centos7.x86_64.rpm

    5. Crea una cuenta en el sitio https://www.snort.org/users/sign_in

    Elabor: Francisco Medina Lpez 4


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    6. Una vez dentro del portal de Snort obtn el cdigo Oinkode.

    Elabor: Francisco Medina Lpez 5


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    Elabor: Francisco Medina Lpez 6


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    Parte 2: Configuracin de Snort


    La segunda parte de esta prctica consiste en realizar la configuracin de Snort, para ello es
    necesario realizar los siguientes pasos:

    1. Descarga e instala las reglas de la comunidad que utilizar Snort para detectar trfico
    anmalo en una red con el siguiente comando:

    a. wget -c "https://www.snort.org/downloads/community/community-
    rules.tar.gz"

    b. tar -zxvf community-rules.tar.gz -C /etc/snort/rules

    2. Descarga e instala las reglas de usuario registrado que utilizar Snort para detectar trfico
    anmalo en una red con el siguiente comando:

    a. wget https://www.snort.org/rules/snortrules-snapshot-
    2972.tar.gz?oinkcode=<Oinkode>

    b. tar -zxvf snortrules-snapshot-2972.tar.gz\?oinkcode\=<Oinkode>

    c. cp -var etc/* /etc/snort/

    d. rm -rf etc/

    e. mv preproc_rules/ so_rules/ /etc/snort/rules/

    f. cp -var rules/* /etc/snort/rules/

    g. rm -rf rules/

    3. Crea los siguientes archivos y directorio:

    a. touch /etc/snort/rules/black_list.rules

    b. touch /etc/snort/rules/white_list.rules

    c. mkdir -p /usr/local/lib/snort_dynamicrules

    Elabor: Francisco Medina Lpez 7


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    4. Realiza una copia de respaldo del archivo snort.conf con el comando:

    cp -var /etc/snort/snort.conf{,.bck}

    5. Edita el archivo /etc/snort/snort.conf con el siguiente comando:

    vi /etc/snort/snort.conf

    6. Edita las siguientes lneas con los valores indicados a continuacin:

    var RULE_PATH /etc/snort/rules


    var SO_RULE_PATH /etc/snort/rules/so_rules
    var PREPROC_RULE_PATH /etc/snort/rules/preproc_rules
    dynamicpreprocessor directory /usr/lib64/snort-2.9.7.2_dynamicpreprocessor
    dynamicengine /usr/lib64/snort-2.9.7.2_dynamicengine/libsf_engine.so
    dynamicdetection directory /usr/local/lib/snort_dynamicrules

    7. Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la


    siguiente variable:

    SELINUXTYPE=targeted

    8. Reiniciar el equipo con el comando: reboot


    9. Iniciar el sensor de Snort con el comando: systemctl start snortd
    10. Verificar el estado del sensor con el comando: systemctl l status snortd

    Elabor: Francisco Medina Lpez 8


    Universidad Nacional Autnoma de Mxico
    Facultad de Contadura y Administracin
    Seguridad en Redes
    Tema 6. Deteccin de vulnerabilidades e intrusiones

    11. Monitorear la bitcora de alertas de Snort con el comando:

    tail f /var/log/snort/alert

    Elabor: Francisco Medina Lpez 9

    Você também pode gostar