Práctica de SNORT

PRÁCTICA DE SNORT UNIVERSIDAD LA SALLE PACHUCA.

1 DE ENERO DE 2017 RAÚL ISLAS AMPUDIA

Contenido Introducción .................................................................................................................................... 1 Desarrollo de la práctica. ................................................................................................................ 1 Ilustración 1- Cuadro de Instalación del Software .................................................. ........................ 2 Ilustración 2 Reglas de Snort. ......................................................................................................... 2 Ilustración 3 Instalación correcta de Snort. ................................................... ................................. 3 Ilustración 4 Captura de pantalla de la versión de Snort ............................................................... 4 Ilustración 5 Captura de pantalla de ajustes. ................................................................................. 4 Ilustración 6 Captura de pantalla de Ajustes 2 ........................................................................ ....... 5 Ilustración 7 Estableciendo puertos y configuraciones. ................................................................. 5 Ilustración 8 Habilitando Puertos ................................................................................................... 6 Ilustración 9 Añadiendo Whitelist. ................................................................................................. 6 Ilustración 10 Añadiendo BlackList .............................................. ................................................... 6 Ilustración 11Captura de Pantalla de apertura del CMD .................................................. .............. 7 Ilustración 12 Elección del Archivo. ........................................................................................... ..... 7 Ilustración 13Captura de Pantalla del proceso .............................................. ................................. 8 Ilustración 14 Alertas ...................................................................................................................... 8 Ilustración 15 Snort validando la configuración. .................................................... ........................ 9 Ilustración 16 Verificando protocolo TCP ...................................................... ................................. 9

Introducción Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN). Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a hora de monitorizar el sistema.

Desarrollo de la práctica. Cabe mencionar que para el desarrollo de la práctica, el primer proceso importante a seguir fue la instalación del software Snort, la cual se implementó la versión más actualizada.

Ilustración 1- Cuadro de Instalación del Software

Es claro de decir que para el desarrollo se requiere descargar un paquete de reglas, se tienen diferentes tipos de descarga de reglas, una es para la comunidad su scrita en snort, para usuarios registrados y reglas para subscriptores, para la primera no se necesita estar registrados, es únicamente la descarga y la de usuarios registrados es la que se descargó.

Ilustración 2 Reglas de Snort.

Primero se instala snort en carpeta raíz C: y pide que se instale el winpcap que es una librería que corre con la interfaz de Windows que muestra el tráfico de re d en “crudo”.

Ilustración 3 Instalación correcta de Snort.

Ilustración 4 Captura de pantalla de la versión de Snort

Una vez que se hicieron los ajustes pertinentes al archivo de configuración, se agregan las reglas descargadas la carpeta de “rules” y se modifican las reglas dentro del “local.rules” donde se configuran las reglas de nuestra preferencia.

Ilustración 5 Captura de pantalla de ajustes.

Ilustración 6 Captura de pantalla de Ajustes 2

Estas modificaciones definene los puertos en los que se trabaja, la red en la que se trabaja, y así, configurarlo de la manera más apropiada para su uso más práctico. A la postre se disponen las rutas sobre las que se establecerá la referencia para las reglas de Snort.

Ilustración 7 Estableciendo puertos y configuraciones.

Ilustración 8 Habilitando Puertos

Como consecuencia se configuran las blacklist y whiteslist donde se guardaran las direcciones ip, por lo cual se ti enen que crear los “black.list” y “white.list” en donde se van a guardar.

Ilustración 9 Añadiendo Whitelist.

Ilustración 10 Añadiendo BlackList

Posteriormente se abre el cmd y se ubica el directorio en donde se ubica snort, se cambia al directorio bin y se introduce el comando  –W que muestra todas las interfaces disponibles tanto “wired” como “wireless”, y se listan todas las interfaces.

Ilustración 11Captura de Pantalla de apertura del CMD

Se elige la interface con la que se va a trabajar, el archivo de configuración junto con la ruta en la que se encuentra y de ahí se pueden poner más configuraciones, en este caso se designara una prueba, por lo que se introduce el comando  –T

Ilustración 12 Elección del Archivo.

Ilustración 13Captura de Pantalla del proceso

Se configuran alertas dent ro del archivo de “local.rules” para las pruebas de ICMP (Internet Control Message Protocol), UDP (User Data Protocol) y TCP (Transmision Control Protocol) Esto nos sirve para determinar el tráfico que se quiere visualizar Y se introduce el mismo comando solo que ahora si se quiere visualizar el tráfico que hay se agrega el comando “–A console” para observar el tráfico que se tiene en la red.

Ilustración 14 Alertas

Ilustración 15 Snort validando la configuración.

Ilustración 16 Verificando protocolo TCP