Snort

Solo disponible en BuenasTareas
  • Páginas : 16 (3755 palabras )
  • Descarga(s) : 0
  • Publicado : 7 de octubre de 2010
Leer documento completo
Vista previa del texto
MANUAL DE INSTALACIÓN

SISTEMA DE DETECCION DE INTRUSIONES Y SISTEMA DE PREVENCION DE INTRUSIONES

Elaborado por:

LEONARDO LEYTON
OSCAR MAURICIO BENAVIDEZ S.

[pic]

Especialización en Gestión de Redes de Datos
UNIVERSIDAD NACIONAL DE COLOMBIA
Sede Manizales
2009

1. SNORT SISTEMA DE DETECCION DE INTRUSIONES, CENTOS, OINKMASTER, BASE.

1. Pre-Requisitos

Paracomenzar partimos de tener una instalación de LINUX CENTOS en nuestro caso la Versión 4.7.

Hacemos una actualización de nuestro sistema operativo para que dispongamos de las últimas versiones de paquetes.

Se debe instalar un servidor Web para poder visualizar el entorno grafico que provee BASE, esto es para poder tomar decisiones y administrar el IDS (Sistema de Detección de Intrusiones),este se puede instalar de la siguiente forma:

#yum install httpd
#/etc/init.d/httpd start

De esta forma instalamos el apache, ahora continuamos con php

#yum install php
#yum install php-mysql

Así queda instalado php con MySQL enable, luego instalamos el servidor MySQL de esta forma.

#yum install mysql
#yum install mysql-server
#/etc/init.d/mysqld startAhora vamos a instalar los componentes necesarios para que snort se pueda compilar e instalar simplemente al utlizamos “yum –y install nombre_paquete” para cada uno de los siguientes paquetes.

mysql-bench
mysql-devel
mysqlclient10
gcc
pcre-devel
php4-gd o php5-gd dependiendo de la versión de php
glib2-devel
gcc-c++

2. Instalacion y ConfiguracionSNORT

Antes de todo creamos un grupo llamado snort y un usuario que pertenezca a este grupo, será el encargado de administrar el IDS.

#groupadd snort
#useradd snort –g snort

Despues de esto creamos los directorios para el snort.

#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /var/log/snort

En el directorio /tmp es donde guardaremos todos los archivos deinstalación que se van a descargar.

Desde la pagina https://www.snort.org/downloads descargamos la version actual de snort, snort-2.8.4.1.tar.gz, nosotros elegimos descargar los fuentes para poder compilar a nuestra necesidad, pero tambien existen algunos binarios precompilados listos para usarse.

tar -xvzf snort-2.8.4.1.tar.gz
cd snort-2.8.4.1
./configure --with-mysql
makemake install

luego vamos al directorio /tmp/snort-2.8.4.1/etc y alli digitamos.

#cp * /etc/snort

Copiamos estos archivos de configuracion al directorio que definimos para snort.

Modificamos el archivo snort.conf ubicado en /etc/snort/snort.conf, alli cambiamos las siguientes líneas.

var HOME_NET 192.168.0.0/24(esta es la red local que vamos a monitorear)
varEXTERNAL_NET !$HOME_NET(esto quiere decir que lo que no sea de nuestra red local es trafico externo)

var RULE_PATH ../rules esta línea debe quedar
var RULE_PATH /etc/snort/rules es decir el directorio donde están nuestras reglas que mas adelante vamos a descargar.

Ahora le diremos a snort que los logs los almacene en MySQL, para esto debemos modificar la linea donde está outputdatabase, con los siguientes parametros.

output database: log, mysql, user=snort password=
dbname=snort host=localhost

Donde user=snort, es decir el usuario creado para administrar snort.
Password=el passwd que se le de al usuario snort para ingresar a MySQL, lo cual haremos mas adelante en la configuracion de la bd.
Dbname=es el nombre con el que vamos a nombra la basede datos en la que guardaremos toda la información que nos de snort.
Host=el equipo donde esta instalado MySQL, en nuestro caso es localhost.

A continuación vamos a configurar MySQL para que reciba la información.

Desde una terminal digitamos:

#mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('clave_de_root');
>Query OK, 0 rows affected (0.25 sec)...
tracking img