Snort-deteccion de intrusos

Snort - GeneralidadesSnort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc conocidos. Todo esto entiempo real. Snort (http://www.snort.org/) está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. EsteIDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap…. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logspara su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). La colocación de Snort en nuestra red puede realizarse según el tráfico quieren vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall… y en realidad prácticamente donde queramos. Una característica muy importante e implementada desde hace pocas versiones es FlexResp. Permite,dada una conexión que emita tráfico malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual cumpliría funciones de firewall, cortando las conexiones que cumplan ciertas reglas predefinidas. No sólo corta la conexiones ya que puede realizar otras muchas acciones.

Snort.conf – El Fichero de configuración Snort.
Uno de los fichero másimportantes y a la vez con más problematica, a la hora de poner a funcionar snort, es el fichero configuración snort.conf. La instalación de snort, dispone de un fichero de configuración snort.conf en el directorio de instalación "snort\etc\snort.conf" en el caso de windows o en el directorio "/usr/local/snort/etc/snort.conf" en el caso de linux. Ejemplo el cual contiene gran cantidad de comentariospara ayudarnos a configurarlo de la manera más correcta. Estos comentarios no influyen a la hora de cargar el fichero por lo que cualquier linea que contenga un simbolo # al principio de esta no se tomara en cuenta. * Una buena idea es hacer un backup o copia de seguridad del fichero snort.conf con otro nombre por ejemplo snort.conf.original para en caso de equivocarnos en la edición del ficheropodamos volver al estado inicial. El fichero snort.conf esta dividido en 6 partes (step): 1) 2) 3) 4) 5) 6) Establece las variables para la red. Configura la carga de las librerias dinamicas. Configura preprocesadores. Configura los plugins de salida. Añade las directivas de configuración. Selecciona las reglas a cargar.

Las variables definadas en el fichero de configuración, han sido definidaspara una configuración generica de una forma global, pudiendo mejorar el rendimiento de snort, definiendolas mas correctamente según nuestras necesidades. Las variables más importantes son las siguientes: var HOME_NET var EXTERNAL_NET var RULE_PATH output alert_syslog output database output alert_unified output log_unified var HOME_NET Establece el host o red a administrar. var EXTERNAL_NET Establecela red definida como No Confiable. Se suele usar el valor “any”. var RULE_PATH Establece la ruta donde se encuentran las reglas de Snort. output alert_syslog

Establace si quieres usar Syslog para almacenar las alertas. output database Establece si quieres usar una base de datos para almacenar los logs o alertas. output alert_unified Establece si queires usar el formato binario unificado de...