Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
!"#$%$&'& )*+ !"! ! #$%$&&'() *$ ')%+,-.!"# %#"&' !"#$%$&$"#$' Snort es un Sistema de Detección de Intrusiones (IDS), capaz de ejecutar análisis de tráfico y autentificación de paquetes en tiempo real en redes TCP/IP. Snort realiza exploración al contenido de paquetes y puede usarse para detectar una variedad de ataques y pruebas de intrusión como escaneo de puertos, ataques DoS, etc.
)*+$#,-. Realizar la instalación y configuración del IDS/IPS Snort 2.9 sobre el sistema operativo CentOS 7.
/$01,',#.' Los pasos descritos en esta práctica asumen que se tiene instalado el sistema operativo CentOS 7 1 x86_64 en su versión mínima. El iso se encuentra disponible en la página del proyecto CentOS .
2"'#31%%,."$' Esta práctica esta divida en dos secciones, la primera detalla los pasos necesarios para realizar la instalación de Snort 2.9 utilizando paquetes precomipilados. La segunda parte detalla los pasos necesarios para realizar de forma exitosa la configuración básica de Snort.
1
http://centos.blazar.mx/7/isos/x86_64/CentOS-7-x86_64-Minimal-1503-01.iso
Elaboró: Francisco Medina López
1
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
453#$ 67 2"'#585%,9" &$ :".3# Para realizar la instalación de la versión Snort 2.9 sobre el sistema operarito Centos 7x66_64 en su versión mínima realizar los siguientes pasos: !" Actualizar el sistema operativo con el comando# %&' &()*+,
2.
Instalar el paquete wget con el comando: %&' -% ./0+*11 23,+
Elaboró: Francisco Medina López
2
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
3.
Instalar el paquete daq con los siguientes comandos: a. wget -c https://forensics.cert.org/cert-forensics-tools-release-el7.rpm
b.
rpm -Uvh cert-forensics-tools-release-el7. rpm
Elaboró: Francisco Medina López
3
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
4.
Instalar el paquete Snort con el comando: %&' 4% ./0+*11 5++(0#66222"0/78+"7836)72/17*)060/78+60/78+49":";"94 !"<,/+70;"=>?@?A"8('
5.
Crea una cuenta en el sitio https://www.snort.org/users/sign_in
Elaboró: Francisco Medina López
4
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
6.
Una vez dentro del portal de Snort obtén el código Oinkode .
Elaboró: Francisco Medina López
5
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
Elaboró: Francisco Medina López
6
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
453#$ ;7 <."=,>135%,9" &$ :".3# La segunda parte de esta práctica consiste en realizar la configuración de Snort, para ello es necesario realizar los siguientes pasos: 1.
Descarga e instala las reglas de la comunidad que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando: *" 23,+ 4< B5++(0#66222"0/78+"7836)72/17*)06<7''&/.+%6<7''&/.+%4 8&1,0"+*8"3CB
D" +*8 4C=EF <7''&/.+%48&1,0"+*8"3C 4G 6,+<60/78+68&1,0
2.
Descarga e instala las reglas de usuario registrado que utilizará Snort para detectar tráfico anómalo en una red con el siguiente comando: *" 23,+ 5++(0#66222"0/78+"78368&1,060/78+8&1,040/*(057+4 9:;9"+*8"3CH7./I<7),JK!"#$%&'L D" +*8 4C=EF 0/78+8&1,040/*(057+49:;9"+*8"3CMH7./I<7),MJKN./I7),L <" <( 4E*8 ,+<6O 6,+<60/78+6 )" 8' 48F ,+<6 ," 'E (8,(87<@8&1,06 07@8&1,06 6,+<60/78+68&1,06 F" <( 4E*8 8&1,06O 6,+<60/78+68&1,06 3" 8' 48F 8&1,06
3.
Crea los siguientes archivos y directorio: *" +7&<5 6,+<60/78+68&1,06D1*
Elaboró: Francisco Medina López
7
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
4.
Realiza una copia de respaldo del archivo snort.conf con el comando: <( 4E*8 6,+<60/78+60/78+"<7/FPQ"D
5.
Edita el archivo /etc/snort/snort.conf con el siguiente comando: E. 6,+<60/78+60/78+"<7/F
6.
Edita las siguientes líneas con los valores indicados a continuación:
E*8 STUV@WXYZ 6,+<60/78+68&1,0 E*8 [N@STUV@WXYZ 6,+<60/78+68&1,0607@8&1,0 E*8 WSVWSNG@STUV@WXYZ 6,+<60/78+68&1,06(8,(87<@8&1,0 )%/*'.<(8,(87<,0078 ).8,<+78% 6&0861.D?A60/78+49":";"9@)%/*'.<(8,(87<,0078 )%/*'.<,/3./, 6&0861.D?A60/78+49":";"9@)%/*'.<,/3./,61.D0F@,/3./,"07 )%/*'.<),+,<+.7/ ).8,<+78% 6&08617<*161.D60/78+@)%/*'.<8&1,0
;" Deshabilitar selinux editando el archivo /etc/selinux/config para cambiar el valor de la siguiente variable: [VU\]T^Y_WVJ+*83,+,)
8. Reiniciar el equipo con el comando: 8,D77+ 9. Iniciar el sensor de Snort con el comando: 0%0+,'<+1 0+*8+ 0/78+) 10. Verificar el estado del sensor con el comando: 0%0+,'<+1 -1 0+*+&0 0/78+)
Elaboró: Francisco Medina López
8
Universidad Nacional Autónoma de México Facultad de Contaduría y Administración Seguridad en Redes Tema 6. Detección de vulnerabilidades e intrusiones
11. Monitorear la bitácora de alertas de Snort con el comando: +*.1 -F 6E*8617360/78+6*1,8+
Elaboró: Francisco Medina López
9
