Manual de instalacion snort
Páginas: 10 (2367 palabras)
Publicado: 8 de enero de 2012
Implementación de servicio de detección y prevención de intrusos IDS/IPS para el enrutador de la Sede
Para la implementación de un servicio tanto de detección como de prevención de intrusos [IDS/IPS] para el enrutador del Tecnológico de Costa Rica Sede San Carlos, se utilizó Snort.
Snort es un sniffer de paquetes, un detector y preventor de intrusos basado en red. Implementa un motor dedetección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.
Instalar Snort
Para la instalación correcta de Snort se deben de seguir una serie de pasos que se van a explicar a continuación:
1. Instalación base del software.
Para mantener los paquetes de MYSQL y PHP actualizados se deben los agregar los repositorios apt quese van a utilizar en el siguiente archivo:
# vi /etc/apt/sources.list
Agregue las siguientes líneas:
deb http://packages.dotdeb.org squeeze all
deb-src http://packages.dotdeb.org squeeze all
Instale la clave de dotdeb GnuPG:
# cd /usr/src
# wget http://www.dotdeb.org/dotdeb.gpg
# cat dotdeb.gpg | apt-key add -
Instale una serie de librerías que son requisito para la instalacióncorrecta de Snort:
# apt-get update && apt-get install apache2 libapache2-mod-php5 libwww-perl mysql-server mysql-common mysql-client php5-mysql libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf libcrypt-ssleay-perl libmysqlclient-dev php5-gd php-pear libphp-adodb php5-cli libtool libssl-dev gcc-4.4 g++ automake gcc make flex bison apache2-doc ca-certificates vim
2. Instalación delibpcap, libdnet, and DAQ pre-requisitos de Snort
Instalar libpcap:
Libpcap proporciona funciones para la captura de paquetes a nivel de usuario, utilizada en la monitorización de redes de bajo nivel.
# cd /usr/src
# wget http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz
# tar -zxf libpcap-1.1.1.tar.gz && cd libpcap-1.1.1
# ./configure --prefix=/usr --enable-shared
# make&& make install
Instalar libdnet:
Libdnet proporciona un interfaz simplificado, portable a varias rutinas de bajo nivel de una red. Aquí están algunas características dominantes del “libdnet”:
* Manipulación de la dirección de red
* Kernel arp (4) cache and route (4) operaciones de búsqueda y manipulación de tabla
* Red firewalling (filtro del IP, ipfw, ipchains, picofaradio,PktFilter,…)
* Operaciones de búsqueda y manipulación del interfaz de red
* El hacer un túnel del IP (cuba de BSD/Linux, dispositivo universal de TUN/TAP)
* Transmisión paquete del IP y del marco crudos de Ethernet
# cd /usr/src
# wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz
# tar -zxf libdnet-1.12.tgz && cd libdnet-1.12
# ./configure --prefix=/usr--enable-shared
# make && make install
Instalar DAQ:
Data AcQuisition library (DAQ), para el paquete de I/O. El DAQ sustituye llamadas directas en las librerías, como PCAP con una capa de abstracción que hacen que sea fácil de añadir software adicional o implementaciones de hardware de captura de paquetes.
# cd /usr/src
# wget http://www.snort.org/dl/snort-current/daq-0.5.tar.gz # tar-zxf daq-0.5.tar.gz && cd daq-0.5
# tar -zxf daq-0.5.tar.gz && cd daq-0.5
DAQ necesita ser parcheado para el correcto reconocimiento del parámetro buffer_size.
# vi /usr/src/daq-0.5/os-daq-modules/daq_pcap.c
En la línea #219 remplace:
context->buffer_size = strtol(entry->key, NULL, 10);
con:
context->buffer_size = strtol(entry->value, NULL, 10);
Continúe conla instalación de DAQ:
#./configure
# make && make install
Actualice la ruta de la librería compartida:
# echo >> /etc/ld.so.conf /usr/lib && ldconfig
3. Instalar, configurar e iniciar Snort
# cd /usr/src
# wget http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz -O snort-2.9.0.5.tar.gz
# tar -zxf snort-2.9.0.5.tar.gz && cd snort-2.9.0.5
#...
Para la implementación de un servicio tanto de detección como de prevención de intrusos [IDS/IPS] para el enrutador del Tecnológico de Costa Rica Sede San Carlos, se utilizó Snort.
Snort es un sniffer de paquetes, un detector y preventor de intrusos basado en red. Implementa un motor dedetección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.
Instalar Snort
Para la instalación correcta de Snort se deben de seguir una serie de pasos que se van a explicar a continuación:
1. Instalación base del software.
Para mantener los paquetes de MYSQL y PHP actualizados se deben los agregar los repositorios apt quese van a utilizar en el siguiente archivo:
# vi /etc/apt/sources.list
Agregue las siguientes líneas:
deb http://packages.dotdeb.org squeeze all
deb-src http://packages.dotdeb.org squeeze all
Instale la clave de dotdeb GnuPG:
# cd /usr/src
# wget http://www.dotdeb.org/dotdeb.gpg
# cat dotdeb.gpg | apt-key add -
Instale una serie de librerías que son requisito para la instalacióncorrecta de Snort:
# apt-get update && apt-get install apache2 libapache2-mod-php5 libwww-perl mysql-server mysql-common mysql-client php5-mysql libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf libcrypt-ssleay-perl libmysqlclient-dev php5-gd php-pear libphp-adodb php5-cli libtool libssl-dev gcc-4.4 g++ automake gcc make flex bison apache2-doc ca-certificates vim
2. Instalación delibpcap, libdnet, and DAQ pre-requisitos de Snort
Instalar libpcap:
Libpcap proporciona funciones para la captura de paquetes a nivel de usuario, utilizada en la monitorización de redes de bajo nivel.
# cd /usr/src
# wget http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz
# tar -zxf libpcap-1.1.1.tar.gz && cd libpcap-1.1.1
# ./configure --prefix=/usr --enable-shared
# make&& make install
Instalar libdnet:
Libdnet proporciona un interfaz simplificado, portable a varias rutinas de bajo nivel de una red. Aquí están algunas características dominantes del “libdnet”:
* Manipulación de la dirección de red
* Kernel arp (4) cache and route (4) operaciones de búsqueda y manipulación de tabla
* Red firewalling (filtro del IP, ipfw, ipchains, picofaradio,PktFilter,…)
* Operaciones de búsqueda y manipulación del interfaz de red
* El hacer un túnel del IP (cuba de BSD/Linux, dispositivo universal de TUN/TAP)
* Transmisión paquete del IP y del marco crudos de Ethernet
# cd /usr/src
# wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz
# tar -zxf libdnet-1.12.tgz && cd libdnet-1.12
# ./configure --prefix=/usr--enable-shared
# make && make install
Instalar DAQ:
Data AcQuisition library (DAQ), para el paquete de I/O. El DAQ sustituye llamadas directas en las librerías, como PCAP con una capa de abstracción que hacen que sea fácil de añadir software adicional o implementaciones de hardware de captura de paquetes.
# cd /usr/src
# wget http://www.snort.org/dl/snort-current/daq-0.5.tar.gz # tar-zxf daq-0.5.tar.gz && cd daq-0.5
# tar -zxf daq-0.5.tar.gz && cd daq-0.5
DAQ necesita ser parcheado para el correcto reconocimiento del parámetro buffer_size.
# vi /usr/src/daq-0.5/os-daq-modules/daq_pcap.c
En la línea #219 remplace:
context->buffer_size = strtol(entry->key, NULL, 10);
con:
context->buffer_size = strtol(entry->value, NULL, 10);
Continúe conla instalación de DAQ:
#./configure
# make && make install
Actualice la ruta de la librería compartida:
# echo >> /etc/ld.so.conf /usr/lib && ldconfig
3. Instalar, configurar e iniciar Snort
# cd /usr/src
# wget http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz -O snort-2.9.0.5.tar.gz
# tar -zxf snort-2.9.0.5.tar.gz && cd snort-2.9.0.5
#...
Leer documento completo
Regístrate para leer el documento completo.