Beruflich Dokumente
Kultur Dokumente
- LinuxParty
http://www.linux-party.com/index.php/3741
1 de 8
09/08/2012 15:24
http://www.linux-party.com/index.php/3741
-dev La d muestra la informacin de aplicacin, la e la informacin de la capa 2 y la v hace que este en modo verbose, lo utilizamos para ver que esta recogiendo trfico de forma correcta. -l Indica el directorio donde vamos a almacenar el log de alertas. En este directorio se crear un fichero automticamente que se llamar alert y contendr todas las alertas del IDS. -i Le indicamos la interfaz a escuchar -h ndicamos cual es la subred en la que estamos pinchados, tambin lo podemos hacer en el fichero de configuracin. -c ndicamos el path al fichero de configuracin a utilizar. Una vez que hemos ejecutado este comando y vemos trfico en la pantalla y que se guardan las alertas en el fichero correspondiente, vamos a pasar a instalarlo como servicio y a que guarde las alertas en el visor de eventos de windows. Para esto ejecutamos: snort /SERVICE /INSTALL -l C:SnortLog -i 3 -c C:Snortetcsnort.conf -E
Ahora ya no nos mostrar informacin en pantalla, se instalar como servicio y empezar a mandar las alertas al fichero antes mencionado y al visor de eventos de windows. Si vamos a los servicios veremos snort, lo arrancamos y lo ponemos como automtico para no tener que arrancarlo cada vez.
http://www.linux-party.com/index.php/3741
Ms adelante veremos como modificar la configuracin, andir reglas, hacer anlisis automticos de los logs .... Fuente: Seguridadenred.net
Sistemas de deteccin de intrusiones. SNORT (Front end grfico -GUI- para Snort)
CAPTULO II:
DESCARGA de IDSCenter CONFIGURACIN PUESTA EN MARCHA DE SNORT CON IDScenteR OTRAS OPCIONES de IDSCenter Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT En este captulo veremos la instalacin de IDSCenter , uno de los front-end (interfaz grfico) de Snort ms usados en sistemas Windows NT/2000/XP. Es licencia GNU General Public Licence (GNU89).
DESCARGA de IDSCenter
En el momento en que se escribe este captulo, la versin es la 109beta2
3 de 8 09/08/2012 15:24
http://www.linux-party.com/index.php/3741
http://www.packx.net/packx/html/en/idscenter/index-idscenter.htm http://packetstormsecurity.nl/sniffers/snort/idscenter109beta2.zip Una vez descargado el archivo, lo descomprimimos, y ejecutamos el setup.exe. Seguimos los pasos normales para la instalacin de cualquier programa de Windows. Hay que tener en cuneta tambin que es necesario la instalacin de la librera WinPCAP: http://winpcap.polito.it/.
CONFIGURACIN
Una vez instalado el programa, lo ejecutamos y aparecer en la barra de iconos al lado del reloj: un icono negro tachado de rojo. Este nuestro icono de IDSCenter. Botn derecho sobre el icono: y pulsamos sobre Setting, tras lo cual aparecer el front-end de configuracin de Snort con el panel General > Main configuration: Aqu comentaremos la configuracin de nuestro programa. En este captulo lo configuraremos desde IDSCenter con la configuracin ms bsica. Ms adelante iremos complicando la configuracin y viendo ms opciones. Desde este panel configuraremos la versin de Snort instalada en nuestro sistema: "Snort 1.8" o "Snort 1.7". Snort executable file: localizacin del ejecutable Snort.exe. Disponemos de un botn de navegacin para su facil localizacin. Log file: ubicacin del fichero de texto alert.ids, en el cual se almacenarn los logs de las alertas, intrusiones, etc a nuestro sistema. Log viewer: configura el tipo de salida para nuestros logs generados por Snort. Lo dejaremos de momento en internal logs viewer, aunque como vemos, podemos usar una salida tipo XML. De momento esto es todo en este panel. Vamos ahora al panel IDS rules > Snort config Aqu le diremos a IDSCenter la ubicacin del fichero de configuracin de Snort (snort.conf).
Configuration file (Snort.conf): Ubicacin de snort.conf Aqu no hace falta configurar nada ms. Ahora slo tendremos que pulsar en el botn "Apply" para cargar snort.conf y nos aparecer su contenido en la ventana.
Para comprobar que todo va bien y no hay errores de momento nos vamos al panel General > Overview: En la ventana Configuration errors aparecern, si se da el caso, los errores de configuracin que hayamos cometido. Ms abajo en Snort commandline vemos la lnea de comandos que ejecutar Snort. Este paso de General > Overwiew para ver los errores de configuracin lo podemos realizar en cualquier momento. Panel Log setting > Logging parameters Aqu entre otras muchas opciones que veremos en prximos captulos, podemos seleccionar la interface de red. til para servidores con dos o ms interfaces de red. Si hacemos algn cambio debemos pulsar "Apply". Si pulsamos "Test setting" aparecer una ventana DOS donde visualizaremos la ejecucin de Snort en lnea de comando para testear que con nuestra configuracin no existe error alguno.
4 de 8
09/08/2012 15:24
http://www.linux-party.com/index.php/3741
En este caso vemos que tras la carga de Snort.exe con los parmetros de configuracin establecidos en IDSCenter, el sistema no nos devuelve error alguno y se queda el programa activo y en funcionamiento. Una vez visto esto, podemos cerrar la ventana.
5 de 8
09/08/2012 15:24
http://www.linux-party.com/index.php/3741
Para mejor comprensin de las alertas generadas por Snort, podemos configurar desde IDSCenter dos tipos de alertas: 1. Set alert mode FAST o Alerta Rpida 2. Set alert mode FULL o Alerta Completa El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin , prioridad de la alerta, IP y puerto de origen y destino. El modo de Alerta Completa nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen/destino e informacin completa de las cabeceras de los paquetes registrados. Para configurar estos dos modos: Panel Log setting > Logging parameters Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuacin entre Full y Fast. Terminada la operacin Aplicamos la regla ("Apply") y "Start Snort".
6 de 8
09/08/2012 15:24
http://www.linux-party.com/index.php/3741
Nombre (requerido) E-mail (requerido) Sitio web :D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
1000 simbolos
Refescar
Enviar
JComments
Categora: Seguridad
Ads-Article
Te gusta la nueva Web de LinuxParty? Si, ya era hora del cambio Todava lo estoy valorando No, yo quiero la otra web View details
Acceso denegado
No tiene permiso para acceder a la pgina solicitada en base a las reglas de acceso web firewall.
Pngase en contacto con el administrador del firewa considera que debera tener acceso a esta pgina.
7 de 8
09/08/2012 15:24
http://www.linux-party.com/index.php/3741
Prximamente descargable... Cmo configurar la tarjeta de Red Inalmbrica ( WiFi ) en Linux. Manual para hackear una red wifi Cambiar la Hora y la Fecha al sistema Linux Cmo configurar el Modem USB o Tarjeta GPRS / 3G para Linux. Exportar Bases de Datos de Access (MDB) a MySQL Cmo bloquear fotos e imgenes porno con SafeSquid, servidor proxy 40 cosas que probablemente no sepas sobre Linux Sexo, Violencia, y Tensin en los Juegos. Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES) Programar y depurar en un IDE para PHP, plugin phpeclipse, xdebug y Remote debug Lara Croft Desnuda! No encuentro la pgina de los cojones Redireccionar puertos ( iptables / ipchains / proxy / squid ) Instalar Microsoft Office en Linux (con Wine) Activar Compiz Fusion en Ubuntu 8.10 Desktop (NVIDIA GeForce FX 5200) Conexin Linux GPRS/EDGE via bluetooth, Cmo. Descargar videos de YouTube y Google video con Firefox Servidor de Archivos Samba con SWAT en Fedora. Activar Compiz Fusion en Ubuntu 8.04 LTS Desktop (NVIDIA GeForce FX 5200)
Tutorial de Linux
8 de 8
09/08/2012 15:24