Snort
Páginas: 16 (3755 palabras)
Publicado: 7 de octubre de 2010
MANUAL DE INSTALACIÓN
SISTEMA DE DETECCION DE INTRUSIONES Y SISTEMA DE PREVENCION DE INTRUSIONES
Elaborado por:
LEONARDO LEYTON
OSCAR MAURICIO BENAVIDEZ S.
[pic]
Especialización en Gestión de Redes de Datos
UNIVERSIDAD NACIONAL DE COLOMBIA
Sede Manizales
2009
1. SNORT SISTEMA DE DETECCION DE INTRUSIONES, CENTOS, OINKMASTER, BASE.
1. Pre-Requisitos
Paracomenzar partimos de tener una instalación de LINUX CENTOS en nuestro caso la Versión 4.7.
Hacemos una actualización de nuestro sistema operativo para que dispongamos de las últimas versiones de paquetes.
Se debe instalar un servidor Web para poder visualizar el entorno grafico que provee BASE, esto es para poder tomar decisiones y administrar el IDS (Sistema de Detección de Intrusiones),este se puede instalar de la siguiente forma:
#yum install httpd
#/etc/init.d/httpd start
De esta forma instalamos el apache, ahora continuamos con php
#yum install php
#yum install php-mysql
Así queda instalado php con MySQL enable, luego instalamos el servidor MySQL de esta forma.
#yum install mysql
#yum install mysql-server
#/etc/init.d/mysqld startAhora vamos a instalar los componentes necesarios para que snort se pueda compilar e instalar simplemente al utlizamos “yum –y install nombre_paquete” para cada uno de los siguientes paquetes.
mysql-bench
mysql-devel
mysqlclient10
gcc
pcre-devel
php4-gd o php5-gd dependiendo de la versión de php
glib2-devel
gcc-c++
2. Instalacion y ConfiguracionSNORT
Antes de todo creamos un grupo llamado snort y un usuario que pertenezca a este grupo, será el encargado de administrar el IDS.
#groupadd snort
#useradd snort –g snort
Despues de esto creamos los directorios para el snort.
#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /var/log/snort
En el directorio /tmp es donde guardaremos todos los archivos deinstalación que se van a descargar.
Desde la pagina https://www.snort.org/downloads descargamos la version actual de snort, snort-2.8.4.1.tar.gz, nosotros elegimos descargar los fuentes para poder compilar a nuestra necesidad, pero tambien existen algunos binarios precompilados listos para usarse.
tar -xvzf snort-2.8.4.1.tar.gz
cd snort-2.8.4.1
./configure --with-mysql
makemake install
luego vamos al directorio /tmp/snort-2.8.4.1/etc y alli digitamos.
#cp * /etc/snort
Copiamos estos archivos de configuracion al directorio que definimos para snort.
Modificamos el archivo snort.conf ubicado en /etc/snort/snort.conf, alli cambiamos las siguientes líneas.
var HOME_NET 192.168.0.0/24(esta es la red local que vamos a monitorear)
varEXTERNAL_NET !$HOME_NET(esto quiere decir que lo que no sea de nuestra red local es trafico externo)
var RULE_PATH ../rules esta línea debe quedar
var RULE_PATH /etc/snort/rules es decir el directorio donde están nuestras reglas que mas adelante vamos a descargar.
Ahora le diremos a snort que los logs los almacene en MySQL, para esto debemos modificar la linea donde está outputdatabase, con los siguientes parametros.
output database: log, mysql, user=snort password=
dbname=snort host=localhost
Donde user=snort, es decir el usuario creado para administrar snort.
Password=el passwd que se le de al usuario snort para ingresar a MySQL, lo cual haremos mas adelante en la configuracion de la bd.
Dbname=es el nombre con el que vamos a nombra la basede datos en la que guardaremos toda la información que nos de snort.
Host=el equipo donde esta instalado MySQL, en nuestro caso es localhost.
A continuación vamos a configurar MySQL para que reciba la información.
Desde una terminal digitamos:
#mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('clave_de_root');
>Query OK, 0 rows affected (0.25 sec)...
SISTEMA DE DETECCION DE INTRUSIONES Y SISTEMA DE PREVENCION DE INTRUSIONES
Elaborado por:
LEONARDO LEYTON
OSCAR MAURICIO BENAVIDEZ S.
[pic]
Especialización en Gestión de Redes de Datos
UNIVERSIDAD NACIONAL DE COLOMBIA
Sede Manizales
2009
1. SNORT SISTEMA DE DETECCION DE INTRUSIONES, CENTOS, OINKMASTER, BASE.
1. Pre-Requisitos
Paracomenzar partimos de tener una instalación de LINUX CENTOS en nuestro caso la Versión 4.7.
Hacemos una actualización de nuestro sistema operativo para que dispongamos de las últimas versiones de paquetes.
Se debe instalar un servidor Web para poder visualizar el entorno grafico que provee BASE, esto es para poder tomar decisiones y administrar el IDS (Sistema de Detección de Intrusiones),este se puede instalar de la siguiente forma:
#yum install httpd
#/etc/init.d/httpd start
De esta forma instalamos el apache, ahora continuamos con php
#yum install php
#yum install php-mysql
Así queda instalado php con MySQL enable, luego instalamos el servidor MySQL de esta forma.
#yum install mysql
#yum install mysql-server
#/etc/init.d/mysqld startAhora vamos a instalar los componentes necesarios para que snort se pueda compilar e instalar simplemente al utlizamos “yum –y install nombre_paquete” para cada uno de los siguientes paquetes.
mysql-bench
mysql-devel
mysqlclient10
gcc
pcre-devel
php4-gd o php5-gd dependiendo de la versión de php
glib2-devel
gcc-c++
2. Instalacion y ConfiguracionSNORT
Antes de todo creamos un grupo llamado snort y un usuario que pertenezca a este grupo, será el encargado de administrar el IDS.
#groupadd snort
#useradd snort –g snort
Despues de esto creamos los directorios para el snort.
#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /var/log/snort
En el directorio /tmp es donde guardaremos todos los archivos deinstalación que se van a descargar.
Desde la pagina https://www.snort.org/downloads descargamos la version actual de snort, snort-2.8.4.1.tar.gz, nosotros elegimos descargar los fuentes para poder compilar a nuestra necesidad, pero tambien existen algunos binarios precompilados listos para usarse.
tar -xvzf snort-2.8.4.1.tar.gz
cd snort-2.8.4.1
./configure --with-mysql
makemake install
luego vamos al directorio /tmp/snort-2.8.4.1/etc y alli digitamos.
#cp * /etc/snort
Copiamos estos archivos de configuracion al directorio que definimos para snort.
Modificamos el archivo snort.conf ubicado en /etc/snort/snort.conf, alli cambiamos las siguientes líneas.
var HOME_NET 192.168.0.0/24(esta es la red local que vamos a monitorear)
varEXTERNAL_NET !$HOME_NET(esto quiere decir que lo que no sea de nuestra red local es trafico externo)
var RULE_PATH ../rules esta línea debe quedar
var RULE_PATH /etc/snort/rules es decir el directorio donde están nuestras reglas que mas adelante vamos a descargar.
Ahora le diremos a snort que los logs los almacene en MySQL, para esto debemos modificar la linea donde está outputdatabase, con los siguientes parametros.
output database: log, mysql, user=snort password=
dbname=snort host=localhost
Donde user=snort, es decir el usuario creado para administrar snort.
Password=el passwd que se le de al usuario snort para ingresar a MySQL, lo cual haremos mas adelante en la configuracion de la bd.
Dbname=es el nombre con el que vamos a nombra la basede datos en la que guardaremos toda la información que nos de snort.
Host=el equipo donde esta instalado MySQL, en nuestro caso es localhost.
A continuación vamos a configurar MySQL para que reciba la información.
Desde una terminal digitamos:
#mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('clave_de_root');
>Query OK, 0 rows affected (0.25 sec)...
Leer documento completo
Regístrate para leer el documento completo.