SNORT
Páginas: 5 (1178 palabras)
Publicado: 6 de agosto de 2015
SNORT
SISTEMA DE DETECCIÓN DE INTRUSOS
Snort es un programa Open Source desarrollado para prevenir y detectar intrusiones en una red. De ahí los acrónimos IDS (intrusion detection system) y IPS (intrusion prevention system).
Analiza todos los paquetes que salen/entran en la red monitoreada, los decodifica, aplicas las reglas definidas en su configuración y devuelve los resultados/alertas.1. Instalación Snort
Instalar los paquetes de desarrollo:
[root@localhost ~] # yum groupinstall "Development Tools"
[root@localhost ~] # yum install libpcap libpcap-devel pcre pcre-devel tcpdump zlib-devel wget nano
Instalar librería que permite efectuar toda una serie de operaciones de bajo nivel en los paquetes de red:
[root@localhost ~] # cd /usr/src
[root@localhost ~] # wgethttp://downloads.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
[root@localhost ~] # tar -zxvf libdnet-1.11.tar.gz
[root@localhost ~] # cd libdnet-1.11
[root@localhost libdnet-1.11] # ./configure --prefix=/usr
[root@localhost libdnet-1.11] # make
[root@localhost libdnet-1.11] # make install
Instalar librerías de Snort para la captura de los datos y DAQ - Data Acquisition library:[root@localhost ~] # cd /usr/src
[root@localhost ~] # wget http://downloads.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
[root@localhost ~] # tar -zxvf libdnet-1.11.tar.gz
[root@localhost ~] # cd libdnet-1.11
[root@localhost libdnet-1.11] # ./configure --prefix=/usr
[root@localhost libdnet-1.11] # make
[root@localhost libdnet-1.11] # make install
[root@localhostlibdnet-1.11] # cd /usr/src
[root@localhost src] # wget http://www.snort.org/dl/snort-current/daq-2.0.5.tar.gz -O daq-2.0.5.tar.gz
[root@localhost src] # tar -zxvf daq-2.0.5.tar.gz
[root@localhost src] # cd daq-2.0.5
[root@localhost daq-2.0.5] # ./configure
[root@localhost daq-2.0.5] # make
[root@localhost daq-2.0.5] # make install
Una vez instalado librerías y herramientas de soporte,instalamos la última versión de snort:
[root@localhost daq-2.0.5] # cd /usr/src
[root@localhost src] # wget http://www.snort.org/dl/snort-current/snort-2.9.7.3.tar.gz -O snort-2.9.4.tar.gz
[root@localhost src] # tar -xf snort-2.9.7.3.tar.gz
[root@localhost src] # cd snort-2.9.7.3
[root@localhost snort-2.9.7.3] # ./configure --enable-zlib --enable-sourcefire
[root@localhost snort-2.9.7.3] # make [root@localhost snort-2.9.7.3] # make install
Se crean las carpetas utilizadas para la configuración:
[root@localhost snort-2.9.7.3] # mkdir /etc/snort
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/rules
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/preproc_rules
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/so_rules
[root@localhost snort-2.9.7.3] # mkdir/usr/local/lib/snort_dynamicrules
[root@localhost snort-2.9.7.3] # mkdir /var/log/snort
Iniciar Snort como servicio:
[root@localhost snort-2.9.7.3] # cd rpm
[root@localhost snort-2.9.7.3] # cp snortd /etc/init.d/
[root@localhost snort-2.9.7.3] # chmod +x /etc/init.d/snortd
[root@localhost snort-2.9.7.3] # chkconfig --add snortd
[root@localhost snort-2.9.7.3] # cp snort.sysconfig /etc/sysconfig/snort
Como el scriptbusca el binario de Snort en la carpeta /usr/sbin, se crea un enlace simbólico:
[root@localhost snort-2.9.7.3] # ln -s /usr/local/bin/snort /usr/sbin/snort
Se crea grupo y usuario en el sistema:
[root@localhost snort-2.9.7.3] # groupadd snort
[root@localhost snort-2.9.7.3] # useradd –g snort snort
Una vez configurado snort, hay que descargar las reglas de Snort. Hay que registrarse en el sitioweb: https://www.snort.org/signup. Una vez ingresado a la cuenta se accede y haciendo click en la imagen “Get Rules”, y descargamos los archivos community-rules.tar.gz y snortrules-snapshot-2973.tar.gz. Creamos la carpeta snortrules y copiamos los archivos descargados:
[root@localhost snort-2.9.7.3] # cd /usr/src
[root@localhost src] # mkdir snortrules
[root@localhost src] # cd snortrules
Se...
SISTEMA DE DETECCIÓN DE INTRUSOS
Snort es un programa Open Source desarrollado para prevenir y detectar intrusiones en una red. De ahí los acrónimos IDS (intrusion detection system) y IPS (intrusion prevention system).
Analiza todos los paquetes que salen/entran en la red monitoreada, los decodifica, aplicas las reglas definidas en su configuración y devuelve los resultados/alertas.1. Instalación Snort
Instalar los paquetes de desarrollo:
[root@localhost ~] # yum groupinstall "Development Tools"
[root@localhost ~] # yum install libpcap libpcap-devel pcre pcre-devel tcpdump zlib-devel wget nano
Instalar librería que permite efectuar toda una serie de operaciones de bajo nivel en los paquetes de red:
[root@localhost ~] # cd /usr/src
[root@localhost ~] # wgethttp://downloads.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
[root@localhost ~] # tar -zxvf libdnet-1.11.tar.gz
[root@localhost ~] # cd libdnet-1.11
[root@localhost libdnet-1.11] # ./configure --prefix=/usr
[root@localhost libdnet-1.11] # make
[root@localhost libdnet-1.11] # make install
Instalar librerías de Snort para la captura de los datos y DAQ - Data Acquisition library:[root@localhost ~] # cd /usr/src
[root@localhost ~] # wget http://downloads.sourceforge.net/project/libdnet/libdnet/libdnet-1.11/libdnet-1.11.tar.gz
[root@localhost ~] # tar -zxvf libdnet-1.11.tar.gz
[root@localhost ~] # cd libdnet-1.11
[root@localhost libdnet-1.11] # ./configure --prefix=/usr
[root@localhost libdnet-1.11] # make
[root@localhost libdnet-1.11] # make install
[root@localhostlibdnet-1.11] # cd /usr/src
[root@localhost src] # wget http://www.snort.org/dl/snort-current/daq-2.0.5.tar.gz -O daq-2.0.5.tar.gz
[root@localhost src] # tar -zxvf daq-2.0.5.tar.gz
[root@localhost src] # cd daq-2.0.5
[root@localhost daq-2.0.5] # ./configure
[root@localhost daq-2.0.5] # make
[root@localhost daq-2.0.5] # make install
Una vez instalado librerías y herramientas de soporte,instalamos la última versión de snort:
[root@localhost daq-2.0.5] # cd /usr/src
[root@localhost src] # wget http://www.snort.org/dl/snort-current/snort-2.9.7.3.tar.gz -O snort-2.9.4.tar.gz
[root@localhost src] # tar -xf snort-2.9.7.3.tar.gz
[root@localhost src] # cd snort-2.9.7.3
[root@localhost snort-2.9.7.3] # ./configure --enable-zlib --enable-sourcefire
[root@localhost snort-2.9.7.3] # make [root@localhost snort-2.9.7.3] # make install
Se crean las carpetas utilizadas para la configuración:
[root@localhost snort-2.9.7.3] # mkdir /etc/snort
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/rules
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/preproc_rules
[root@localhost snort-2.9.7.3] # mkdir /etc/snort/so_rules
[root@localhost snort-2.9.7.3] # mkdir/usr/local/lib/snort_dynamicrules
[root@localhost snort-2.9.7.3] # mkdir /var/log/snort
Iniciar Snort como servicio:
[root@localhost snort-2.9.7.3] # cd rpm
[root@localhost snort-2.9.7.3] # cp snortd /etc/init.d/
[root@localhost snort-2.9.7.3] # chmod +x /etc/init.d/snortd
[root@localhost snort-2.9.7.3] # chkconfig --add snortd
[root@localhost snort-2.9.7.3] # cp snort.sysconfig /etc/sysconfig/snort
Como el scriptbusca el binario de Snort en la carpeta /usr/sbin, se crea un enlace simbólico:
[root@localhost snort-2.9.7.3] # ln -s /usr/local/bin/snort /usr/sbin/snort
Se crea grupo y usuario en el sistema:
[root@localhost snort-2.9.7.3] # groupadd snort
[root@localhost snort-2.9.7.3] # useradd –g snort snort
Una vez configurado snort, hay que descargar las reglas de Snort. Hay que registrarse en el sitioweb: https://www.snort.org/signup. Una vez ingresado a la cuenta se accede y haciendo click en la imagen “Get Rules”, y descargamos los archivos community-rules.tar.gz y snortrules-snapshot-2973.tar.gz. Creamos la carpeta snortrules y copiamos los archivos descargados:
[root@localhost snort-2.9.7.3] # cd /usr/src
[root@localhost src] # mkdir snortrules
[root@localhost src] # cd snortrules
Se...
Leer documento completo
Regístrate para leer el documento completo.