Prueba
Páginas: 20 (4962 palabras)
Publicado: 25 de junio de 2012
ADMINISTRACIÓN • Snort
Detección de Intrusiones con Snort
SEGURIDAD SNORT
Búsqueda de ataques ocultos con el sistema de detección de intrusos Snort. POR CHRIS RILEY
ace poco implementamos un Sistema de Detección de Intrusos (IDS) para una granja de webs alojada remotamente. Tras la configuración inicial, comenzamos a hacer pruebas y a optimizar el sistema. Tan pronto como se conectó,detectamos un tipo de tráfico que no debería pasar del DMZ. El cortafuegos controlado por el ISP estaba mal configurado y permitía la entrada de casi todo el tráfico. Durante el poco tiempo en que estuvo el test en funcionamiento, el IDS registró un gran número de escaneos de puertos e intentos de acceso a los servidores principales. Era
H
obvio, observando estos logs, que los servidores noestaban recibiendo la atención adecuada. La moraleja de esta historia es que siempre hay que tener un ojo puesto en la red. Incluso aunque no tengamos el problema de un cortafuegos mal configurado, nuestros sistemas pueden beneficiarse de la vigilancia de un IDS. En el nivel más básico, lo que un IDS hace es capturar todo el tráfico de una red. Luego compara el contenido de los paquetes con reglasespecíficas para ver si existen vulnerabilidades conocidas o código malicioso.
Cada vez que el IDS encuentra una coincidencia en una regla, se dispara una acción preconfigurada. La acción varía dependiendo de la configuración de dicha regla, aunque en modo IDS básico, el sistema simplemente registra el tráfico peligroso o envía una alerta. Un sensor, es decir, un equipo situado en el perímetro dela red, permanece vigilante al tráfico que el cortafuegos deja pasar; con otro sensor, situado en el exterior del cortafuegos, se pueden ver los intentos de acceso. Snort [1] es un IDS alternativo de código abierto, y al igual que otros proyectos de código abierto, cuenta ahora con una rama corporativa, Sourcefire [2]. Lo bueno es que Snort sigue estando disponible bajo licencia GPL.
pcphotos,Fotolia
60
Número 46
WWW.LINUX-MAGAZINE.ES
Snort • ADMINISTRACIÓN
En este artículo explicamos cómo usar Snort para vigilar nuestra red.
Instalación
La instalación de Snort suele ser sencilla. Quien tenga un gestor de paquetes .dev o .rpm debería encontrar a Snort entre los paquetes disponibles para su distribución; aunque sea una versión algo más antigua. En el momento deescribir estas líneas, la última versión es la 2.8.3.1. Instalarlo desde las fuentes no es tan sencillo como hacerlo con apt-get, pero dispondremos de muchas más opciones para la configuración del sistema. Para compilarlo necesitaremos el tarball con las fuentes y, opcionalmente, la suma MD5 que usaremos para comprobar la integridad del paquete.
wget http://www.snort.org/U dl/snort-2.8.3.1.tar.gzOpcional:
wget http://www.snort.org/U dl/snort-2.8.3.1.tar.gz.md5
Opcional:
md5sum -cU snort-2.8.3.1.tar.gz.md5 tar -xvf snort-2.8.3.1.tar.gz cd snort-2.8.3.1
Una vez descomprimidas las fuentes, decidimos dónde nos dejará los registros y las alertas. Además, siempre podemos registrarlo todo en /var/log/snort/ o configurar una ruta escalable más flexible. Snort soporta una amplia variedad debases de datos que nos permite centralizar fácilmente la información. La elección dependerá de lo que queramos hacer y de la cantidad de tráfico con la que pensemos trabajar. Un cálculo sencillo puede ser multiplicar por 10 el nivel de tráfico estimado. La mayoría de las veces la gente se sorprende de cómo un mínimo tráfico puede sobrecargar con facilidad nuestro sistema de registros si no seestá prevenido. En este ejemplo instalamos MySQL como base de datos para Snort. Si quiere utilizarse otra base de datos, se puede compilar el soporte para la misma mediante las opciones disponibles para ./configure.
./configure —with-mysql make sudo make install
Para ver un listado completo de las opciones soportadas ejecutaremos ./configure -h. Si se producen errores durante la compilación,...
Detección de Intrusiones con Snort
SEGURIDAD SNORT
Búsqueda de ataques ocultos con el sistema de detección de intrusos Snort. POR CHRIS RILEY
ace poco implementamos un Sistema de Detección de Intrusos (IDS) para una granja de webs alojada remotamente. Tras la configuración inicial, comenzamos a hacer pruebas y a optimizar el sistema. Tan pronto como se conectó,detectamos un tipo de tráfico que no debería pasar del DMZ. El cortafuegos controlado por el ISP estaba mal configurado y permitía la entrada de casi todo el tráfico. Durante el poco tiempo en que estuvo el test en funcionamiento, el IDS registró un gran número de escaneos de puertos e intentos de acceso a los servidores principales. Era
H
obvio, observando estos logs, que los servidores noestaban recibiendo la atención adecuada. La moraleja de esta historia es que siempre hay que tener un ojo puesto en la red. Incluso aunque no tengamos el problema de un cortafuegos mal configurado, nuestros sistemas pueden beneficiarse de la vigilancia de un IDS. En el nivel más básico, lo que un IDS hace es capturar todo el tráfico de una red. Luego compara el contenido de los paquetes con reglasespecíficas para ver si existen vulnerabilidades conocidas o código malicioso.
Cada vez que el IDS encuentra una coincidencia en una regla, se dispara una acción preconfigurada. La acción varía dependiendo de la configuración de dicha regla, aunque en modo IDS básico, el sistema simplemente registra el tráfico peligroso o envía una alerta. Un sensor, es decir, un equipo situado en el perímetro dela red, permanece vigilante al tráfico que el cortafuegos deja pasar; con otro sensor, situado en el exterior del cortafuegos, se pueden ver los intentos de acceso. Snort [1] es un IDS alternativo de código abierto, y al igual que otros proyectos de código abierto, cuenta ahora con una rama corporativa, Sourcefire [2]. Lo bueno es que Snort sigue estando disponible bajo licencia GPL.
pcphotos,Fotolia
60
Número 46
WWW.LINUX-MAGAZINE.ES
Snort • ADMINISTRACIÓN
En este artículo explicamos cómo usar Snort para vigilar nuestra red.
Instalación
La instalación de Snort suele ser sencilla. Quien tenga un gestor de paquetes .dev o .rpm debería encontrar a Snort entre los paquetes disponibles para su distribución; aunque sea una versión algo más antigua. En el momento deescribir estas líneas, la última versión es la 2.8.3.1. Instalarlo desde las fuentes no es tan sencillo como hacerlo con apt-get, pero dispondremos de muchas más opciones para la configuración del sistema. Para compilarlo necesitaremos el tarball con las fuentes y, opcionalmente, la suma MD5 que usaremos para comprobar la integridad del paquete.
wget http://www.snort.org/U dl/snort-2.8.3.1.tar.gzOpcional:
wget http://www.snort.org/U dl/snort-2.8.3.1.tar.gz.md5
Opcional:
md5sum -cU snort-2.8.3.1.tar.gz.md5 tar -xvf snort-2.8.3.1.tar.gz cd snort-2.8.3.1
Una vez descomprimidas las fuentes, decidimos dónde nos dejará los registros y las alertas. Además, siempre podemos registrarlo todo en /var/log/snort/ o configurar una ruta escalable más flexible. Snort soporta una amplia variedad debases de datos que nos permite centralizar fácilmente la información. La elección dependerá de lo que queramos hacer y de la cantidad de tráfico con la que pensemos trabajar. Un cálculo sencillo puede ser multiplicar por 10 el nivel de tráfico estimado. La mayoría de las veces la gente se sorprende de cómo un mínimo tráfico puede sobrecargar con facilidad nuestro sistema de registros si no seestá prevenido. En este ejemplo instalamos MySQL como base de datos para Snort. Si quiere utilizarse otra base de datos, se puede compilar el soporte para la misma mediante las opciones disponibles para ./configure.
./configure —with-mysql make sudo make install
Para ver un listado completo de las opciones soportadas ejecutaremos ./configure -h. Si se producen errores durante la compilación,...
Leer documento completo
Regístrate para leer el documento completo.