INSTALACION Y CONFIGURACION DE SNORT

- VISUALIZACION: ACID BASE

2012

Javier Garca Cambronel SEGUNDO DE ASIR

01/03/2012

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 1

INTRODUCCIN

QU ES SNORT Y QU ES ACID?

PREREQUISITOS PARA SNORT CON ACID

INSTALAMOS SNORT Y ACID BASE

ANLISIS DE VULNERABILIDADES Y SU

DETECCION

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 2

INTRODUCCIN

Este documento trata de describir los pasos a realizar para la instalacin y configuracin de

un sistema de deteccin de intrusiones. Durante la escritura del documento dar algunos

pasos por sabidos o ya realizados, para cualquier duda recomiendo consultar la

documentacin oficial de las aplicaciones a configurar.

QU ES SNORT Y QU ES ACID?

SNORT

Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un

dominio de colisin). Es un software muy flexible que ofrece capacidades de

almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos

abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de

puertos que permite registrar, alertar y responder ante cualquier anomala previamente

definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real

(ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente

maliciosas y las almacena en un registro formateado, as, Snort utiliza la biblioteca estndar

libcap y tcpdump como registro de paquetes en el fondo. Puede funcionar como sniffer

(podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo nuestro trfico),

registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un

anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con

algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de

dnde y cmo se produjo el ataque. La caracterstica ms apreciada de Snort, adems de su

funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos

de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar

a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de

los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as

todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha

convertido a Snort en uno de los IDSes basados en red ms populares, actualizados y

robustos. Resulta imprescindible tomar ms medidas complementarias al amparo de esta

alarma que salta. Un cortafuego aadido aporta en conjunto una seguridad bastante

aceptable.

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 3

PROPORCIONA TRES FUNCIONES ESENCIALES DE SEGURIDAD

MONITORIZAN:

Esto es, el IDS mantiene siempre un ojo en la red, observando y escudriando eltrfico en

busca de cualquier paquete susceptible de contener cdigo no deseado. Quvisita quin y

cundo lo hace en nuestra red, quin viene desde el exterior y qubusca... etc. En este

sentido acta exactamente igual que un sniffer. De hecho, cabe laposibilidad de utilizarlos

como tal.

DETECTAN:

Usan polticas (totalmente configurables) para definir los actos sospechosos de todo ese

trfico que provocar una alarma si ocurren. Los patrones se pueden actualizar cada cierto

tiempo si se descubren nuevos tipos de ataques.

RESPONDEN:

Esta alarma puede venir en forma de archivos en el sistema, pginas html dinmicas con

grficos o incluso correos con la informacin necesaria. Tambin podra incluir la expulsin

de un usuario del sistema... etc. A la hora de realizar labores de forense (tras un ataque,

determinar el alcance, evaluar los daos, e Intentar cazar al autor) resulta de gran ayuda. Un

elaborado registro de las incidencias ocurridas en la red, con el contenido de los paquetes de

cada "visita" resulta imprescindible para realizar una buena labor de investigacin, Pero para

ello, no se pueden alojar los logs dentro de la propia mquina. Todos sabemos lo sencillo

que resulta borrarlos si un atacante llega a tener el control de servidor. Lo mejor es instalar

una base de datos en un sistema remoto que almacene los registros ordenadamente, y de

esta forma, tambin puedan ser consultados de manera sencilla.

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 4

ACID

ACID (Analysis Console for Intrussion Databases) es una interface web desarrollada en

lenguaje PHP, que nos muestra los registros guardados por Snort. Snort puede guardarlos en

una base de datos o en simples ficheros de texto (por ejemplo syslog)... si queremos usar

ACID para visualizar sus efectos, deberemos usar MySQL como almacn para los logs

recogidos por Snort.

PREREQUISITOS PARA SNORT CON ACID

SERVIDOR WEB

ACID es una interface web, por lo que partimos de la base de que el sistema operativo sobre

el que esta funcionando tiene instalado un servidor web, en mi caso particular (y para las

explicaciones de este documento) es un APACHE.

BASE DE DATOS

Snort debe dejar los logs en una base de datos si queremos poderlos visualizar con ACID, por

lo que previamente necesitamos una base de datos, como por ejemplo MySQL.

Aunque tambin podemos hacerlo con PosgreSQL, Oracle y alguna otra ms... yo lo he hecho

con MySQL, como muestro en el documento.

Lo primero que debemos hacer es instalar apache en Ubuntu, en mi caso en Ubuntu 11.04

SOPORTE PHP

Si queremos poder usar ACID como interfaz web para visualizar los logs de Snort, debemos

dar soporte para PHP en nuestro servidor web.

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 5

INSTALACION SERVIDOR WEB

sudo apt-get install apache2

Una vez que hayamos introducido nuestra contrasea si nos la pide nos pedir una

confirmacin y comenzar la instalacin comenzar la instalacin

Esto instalar Apache 2 y todas sus dependencias, ahora nos dirigiremos al directorio

/etc/apache2/ donde nos encontraremos con una serie de archivos, el archivo apache2.conf

es el archivo principal de configuracin de nuestro apache, no lo modificaremos por el

momento.

Tambin podemos encontrar el archivo httpd.conf, este archivo esta vaco y as lo

dejaremos, su fin es simplemente garantizar compatibilidad con versiones anteriores de

apache.

Reiniciemos apache:

sudo /etc/init.d/apache2 restart

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 6

PODEMOS VERLO TANTO DE FORMA LOCAL

COMO EXTERNA

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 7

INSTALACION DE UNA GESTOR DE BASE DE DATOS (MYSQL)

sudo apt-get install mysql-server

Una vez ejecutado el comando se nos pedir la confirmacin pertinente como en anteriores

ocasiones y confirmaramos veramos el progreso y se nos presentara la siguiente ventana en

la que tendramos que introducir la contrasea para acceder como root a mysql o dejarlo sin

contrasea, NO RECOMENDADO

Esto instalara mysql server 5.0, el cliente mysql y todas sus dependencias. Para asegurarnos

que todo ha salido bien podemos ejecutar en una terminal:

Mysql unombredeusuario -pcontrasea

[INSTALACION Y CONFIGURACION DE SNORT - VISUALIZACION: ACID BASE] 1 de marzo de 2012

SEGUNDO DE ASIR Pgina 8

SOPORTE PHP PARA NUESTRO SERVIDOR Y GESTOR DE BASES

DE DATOS

sudo apt-get install php5 php5-mysql

Despus de ingresar este comando si se nos pide la contrasea la metemos y nos saldr una

advertencia de si queremos continuar la instalacin de dicho paquete y lo confirmamos.

Despus de esto veremos como comienza la instalacin de cada uno de los paquetes

Y veremos como todo esto se ha llevado a cabo sin ningn problema