tec .sistemas
Snort es una herramienta de seguridad muy utilizada en linux, con la cual
podemos asegurar nuestro equipo o nuestra red. Ofrece muchas
posibilidades, pero en este pequeño manual nos centraremos en las mas
básicas.
Una de ellas es la detección de escanéos de puertos. Snort nos ofrece de
forma muy clara las ips que han intentado escanear nuestro equipo, asi
como la hora del escaneo y detalles sobre los paquetes empleados.
Una vez instalado snort ya sea desde las fuentes o desde los cds de nuestradistribución de linux hemos de configurarlo modificando el archivo
snort.conf, estableciendo las variables oportunas a la configuración denuestra red. Por ejemplo si que queremos establecer que nuestra interfaz
externa la tenemos en la conexión del módem 56K, lo que tenemos que
hacer es editar dicho archivo y buscar la siguiente linea:
var EXTERNAL_NET any Y cambiarla por esto:
var EXTERNAL_NET $ppp0_ADDRESS
Aunque si la dejamos como estaba también nos detectará los escaneos, solo
que de la segunda forma podemos especificar exactamente en que interfazqueremos detectar los escaneos.
En snort.conf también podemos establecer todas las variables
correspondientes a nuestros servidores web, DNS o cualesquiera estuvieranpresentes en nuestra red.
Una vez configurado este archivo hemos de asegurarnos de que snort va a
poder escribir los logs en el sitio adecuado. Asi que nos vamos a /var/log/ ynos aseguramos de que existe un directorio llamado snort y si no lo hubiera
lo crearíamos.
Solo nos queda arrancar snort indicándole donde está el archivo snort.confy la interfaz que ha de vigilar y si se produciera algún escaneo, dentro de /
var/log/snort/ nos aparecería un directorio con la ip que tenia en ese
momento esa interfaz, y la ip que nos ha escaneado y dentro de él, distintos...
Regístrate para leer el documento completo.