Snort para Windows, deteccin de Intrusos y seguridad.

- LinuxParty

http://www.linux-party.com/index.php/3741

Buscar... Inicio Instalar Nginx con PHP5 y MySQL en Fedora 10

Noticias de Linux y tecnologa Snort para Windows, deteccin de Intrusos y seguridad.

Publicado el Martes, 30 Septiembre 2008 16:40 | | | Visitas: 12297 Snort es una herramienta opensource utilizada en un gran nmero de sitios porque es una herramienta muy potente, que combinada con otras herramientas opensource tiene casi infinitas aplicaciones. Para lo que nosotros vamos a utilizarla basta con descargarnos snort de su pgina principal. En la seccion downloads -> binaries -> win32, tenemos el instalador de windows. Lo descargamos y ejecutamos la instalacin, si no tenemos instalado el WinPcap lo instalaremos ya que es necesario para un correcto funcionamiento de snort. En la instalacin seleccionaremos la primera opcin sin soporte para base de datos ya que vamos a almacenar las alertas en ficheros de texto. El directorio de instalacin por defecto es snort, es recomendable instalarlo ah. Antes de ejecutar snort es conveniente bajarse las ltimas reglas de deteccin. Para esto hay que ir a la pgina de snort, downloads -> rules. Os recomiendo bajaros las reglas para "suscriptores", slo te piden que te registres y tienes acceso a las actualizaciones. Las reglas vienen comprimidas en formato .tgz wl winrar por ejemplo lo reconoce para descomprimirlo. Una vez descargadas hay que descomprimir el archivo de reglas en C:Snort ules. En C:Snortetc tenemos el fichero snort.conf que es el fichero de configuracin, lo veremos en detalle ms adelante ahora slo fijarnos en la parte final donde hay una serie de "includes" con tipos de reglas, que en funcin de que tengan delante el signo almohadilla, "#", o no, se incluirn en la revisin de los paquetes. Sin el signo se tendrn en cuenta estas reglas para detectar ataques, con el signo, no se tendrn en cuenta y estos ataques no se detectarn. Al principio es mejor quitar la almohadilla a todos y ver todos los ataques que detecta. Posteriormente se irn comentando los ataques que no apliquen. Si ejecutis snort desde la lnea de comandos veris que tiene multitud de opciones aqu slo veremos las necesarias para utilizarlo como detector de intrusos para un PC personal. Si tenemos ms de una tarjeta de red, Snort puede escuchar en cualquiera de los interfaces de la mquina por lo que debemos decirle donde escuchar con la opcin -i y el nmero del interfaz. Para conocer este nmero ejecutaremos: snort -W Nos dar un listado de nmeros y descripciones seleccionamos el nmero adecuado al interfaz que queremos vigilar. Una vez que tenemos el interfaz ejecutaremos el siguiente comando: C:Snortin>snort -dev -l c:snortlog -i 3 -h 10.10.10.1/24 -c c:snortetcsnort.conf

1 de 8

09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

-dev La d muestra la informacin de aplicacin, la e la informacin de la capa 2 y la v hace que este en modo verbose, lo utilizamos para ver que esta recogiendo trfico de forma correcta. -l Indica el directorio donde vamos a almacenar el log de alertas. En este directorio se crear un fichero automticamente que se llamar alert y contendr todas las alertas del IDS. -i Le indicamos la interfaz a escuchar -h ndicamos cual es la subred en la que estamos pinchados, tambin lo podemos hacer en el fichero de configuracin. -c ndicamos el path al fichero de configuracin a utilizar. Una vez que hemos ejecutado este comando y vemos trfico en la pantalla y que se guardan las alertas en el fichero correspondiente, vamos a pasar a instalarlo como servicio y a que guarde las alertas en el visor de eventos de windows. Para esto ejecutamos: snort /SERVICE /INSTALL -l C:SnortLog -i 3 -c C:Snortetcsnort.conf -E

Ahora ya no nos mostrar informacin en pantalla, se instalar como servicio y empezar a mandar las alertas al fichero antes mencionado y al visor de eventos de windows. Si vamos a los servicios veremos snort, lo arrancamos y lo ponemos como automtico para no tener que arrancarlo cada vez.

Si vamos al visor de eventos en la pestaa de aplicacin veremos la informacin de alertas de snort.

2 de 8 09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

Ms adelante veremos como modificar la configuracin, andir reglas, hacer anlisis automticos de los logs .... Fuente: Seguridadenred.net

Sistemas de deteccin de intrusiones. SNORT (Front end grfico -GUI- para Snort)
CAPTULO II:
DESCARGA de IDSCenter CONFIGURACIN PUESTA EN MARCHA DE SNORT CON IDScenteR OTRAS OPCIONES de IDSCenter Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT En este captulo veremos la instalacin de IDSCenter , uno de los front-end (interfaz grfico) de Snort ms usados en sistemas Windows NT/2000/XP. Es licencia GNU General Public Licence (GNU89).

DESCARGA de IDSCenter
En el momento en que se escribe este captulo, la versin es la 109beta2
3 de 8 09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

http://www.packx.net/packx/html/en/idscenter/index-idscenter.htm http://packetstormsecurity.nl/sniffers/snort/idscenter109beta2.zip Una vez descargado el archivo, lo descomprimimos, y ejecutamos el setup.exe. Seguimos los pasos normales para la instalacin de cualquier programa de Windows. Hay que tener en cuneta tambin que es necesario la instalacin de la librera WinPCAP: http://winpcap.polito.it/.

CONFIGURACIN
Una vez instalado el programa, lo ejecutamos y aparecer en la barra de iconos al lado del reloj: un icono negro tachado de rojo. Este nuestro icono de IDSCenter. Botn derecho sobre el icono: y pulsamos sobre Setting, tras lo cual aparecer el front-end de configuracin de Snort con el panel General > Main configuration: Aqu comentaremos la configuracin de nuestro programa. En este captulo lo configuraremos desde IDSCenter con la configuracin ms bsica. Ms adelante iremos complicando la configuracin y viendo ms opciones. Desde este panel configuraremos la versin de Snort instalada en nuestro sistema: "Snort 1.8" o "Snort 1.7". Snort executable file: localizacin del ejecutable Snort.exe. Disponemos de un botn de navegacin para su facil localizacin. Log file: ubicacin del fichero de texto alert.ids, en el cual se almacenarn los logs de las alertas, intrusiones, etc a nuestro sistema. Log viewer: configura el tipo de salida para nuestros logs generados por Snort. Lo dejaremos de momento en internal logs viewer, aunque como vemos, podemos usar una salida tipo XML. De momento esto es todo en este panel. Vamos ahora al panel IDS rules > Snort config Aqu le diremos a IDSCenter la ubicacin del fichero de configuracin de Snort (snort.conf).

Configuration file (Snort.conf): Ubicacin de snort.conf Aqu no hace falta configurar nada ms. Ahora slo tendremos que pulsar en el botn "Apply" para cargar snort.conf y nos aparecer su contenido en la ventana.

Para comprobar que todo va bien y no hay errores de momento nos vamos al panel General > Overview: En la ventana Configuration errors aparecern, si se da el caso, los errores de configuracin que hayamos cometido. Ms abajo en Snort commandline vemos la lnea de comandos que ejecutar Snort. Este paso de General > Overwiew para ver los errores de configuracin lo podemos realizar en cualquier momento. Panel Log setting > Logging parameters Aqu entre otras muchas opciones que veremos en prximos captulos, podemos seleccionar la interface de red. til para servidores con dos o ms interfaces de red. Si hacemos algn cambio debemos pulsar "Apply". Si pulsamos "Test setting" aparecer una ventana DOS donde visualizaremos la ejecucin de Snort en lnea de comando para testear que con nuestra configuracin no existe error alguno.

4 de 8

09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

En este caso vemos que tras la carga de Snort.exe con los parmetros de configuracin establecidos en IDSCenter, el sistema no nos devuelve error alguno y se queda el programa activo y en funcionamiento. Una vez visto esto, podemos cerrar la ventana.

PUESTA EN MARCHA DE SNORT CON IDScenter

Una vez realizados estos pasos ya podemos pulsar "Start Snort" que se encuentra arriba a la izquierda del panel que tengamos abierto. Este icono que ahora aparece tachado dejar de estarlo y Snort entrar en funcionamiento como IDS,. El panel de configuracin ya podemos cerrarlo. Si pulsamos sobre el icono de Snort > botn derecho del ratn, tendremos un pequeo men de opciones: Pulsemos "View alerts" y veremos algo parecido a esto: Este es el contenido del archivo alerts.ids donde se almacenan los logs de las alertas. Si pulsamos en el men anterior "Open logs folder", aparecer el directorio logs con carpetas correspondientes a las direcciones IP de las mquinas que hayan sido logeadas por Snort, conteniendo detalles sobre la intrusin. Ya tenemos trabajando a Snort como IDS, pero vamos a adelantar ahora algunas otras configuraciones.

OTRAS OPCIONES de IDSCenter

En el panel Alerts > Alert notification Podemos configurar si queremos algn tipo de sonido (.wav) para las alarmas y el modo en que funcionarn stas. Tambin podemos hacer trabajar conjuntamente Snort con BlackICE para usar las configuraciones de Autoblock que vienen implementadas en BlackICE. Slo tendremos que marcar en la casilla correspondiente e indicar donde esta el archivo de configuracin de BlackICE (recordemos que este cortafuegos software no para la salida al exterior de posibles troyanos, slo detecta y para los intentos de entrada, como el "cortafuegos" interno del XP). En Alerts > Alert Mail podemos configurar Snort para que nos enve un mensaje va correo electrnico. Siempre que queramos modificar alguna configuracin desde IDSCenter, una vez que lo hayamos iniciado, debemos parar Snort: "Stop Snort" y aplicar los cambios "Apply". Una vez hecho esto ya podemos otra vez "Start Snort". Panel IDS rules > Rules/Signatures En este panel vemos todas las reglas, ya preconfiguradas, que podemos activar/desactivar segn nuestras necesidades. Tambin podemos aadir otros set de reglas que hayamos escrito nosotros mismos. El resto de configuraciones como Network variables, Preprocesadores, etc lo veremos en el siguiente captulo.

Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT

El fichero Alert.ids es el archivo donde se almacenarn las alertas y registros de paquetes generados por Snort. Tiene un formato ASCII plano, fcilmente editable por cualquier procesador de textos. Alert.ids est ubicado en el directorio /log dentro de la carpeta donde se realiz la instalacin, normalmente C:Snort. *En este directorio tambin se almacenarn otros ficheros, como los relacionados a salidas o registros del preprocesador de scan de puertos o los registros de alertas asociados a la direccin IP que gener la alerta.

5 de 8

09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

Para mejor comprensin de las alertas generadas por Snort, podemos configurar desde IDSCenter dos tipos de alertas: 1. Set alert mode FAST o Alerta Rpida 2. Set alert mode FULL o Alerta Completa El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin , prioridad de la alerta, IP y puerto de origen y destino. El modo de Alerta Completa nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen/destino e informacin completa de las cabeceras de los paquetes registrados. Para configurar estos dos modos: Panel Log setting > Logging parameters Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuacin entre Full y Fast. Terminada la operacin Aplicamos la regla ("Apply") y "Start Snort".

Veamos dos ejemplos:

Se trata de dos simples accesos a un servidor proxy ubicado en el puerto 8080 de la mquina destino IP: 192.168.4.15 por parte del host IP: 192.168.4.3 que realiza la conexin mediante el puerto 1382 en el primer caso y 3159 en el segundo. Snort clasifica o describe esta alerta como un intento de prdida de informacin, clasificado como prioridad 2. Modo Alerta Rpida: 09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**] [Classification: Attempted Information Leak] [Priority: 2] ... ... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080 Modo Alerta Completa: [**] [1:620:2] SCAN Proxy (8080) attempt [**] [Classification: Attempted Information Leak] [Priority: 2] 09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080 TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF ******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28 TCP Options (4) => MSS: 1456 NOP NOP SackOK Informacin de la cabecera del paquete: TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF ******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28 TCP Options (4) => MSS: 1456 NOP NOP SackOK Fuente: nautopa. Escribir un comentario

6 de 8

09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

Nombre (requerido) E-mail (requerido) Sitio web :D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:

1000 simbolos

Subscribirse a la notificacin de nuevos comentarios

Refescar

Enviar
JComments

Categora: Seguridad

Ads-Article
Te gusta la nueva Web de LinuxParty? Si, ya era hora del cambio Todava lo estoy valorando No, yo quiero la otra web View details

Acceso denegado
No tiene permiso para acceder a la pgina solicitada en base a las reglas de acceso web firewall.

Pngase en contacto con el administrador del firewa considera que debera tener acceso a esta pgina.

Seguir a @linuxparty Tenemos 344 visitantes y ningun miembro en Lnea

7 de 8

09/08/2012 15:24

Snort para Windows, deteccin de Intrusos y seguridad. - LinuxParty

http://www.linux-party.com/index.php/3741

Noticias de Linux y tecnologa Usuario Contrasea Recordarme

Olvido su contrasea? Olvido su usuario?

Prximamente descargable... Cmo configurar la tarjeta de Red Inalmbrica ( WiFi ) en Linux. Manual para hackear una red wifi Cambiar la Hora y la Fecha al sistema Linux Cmo configurar el Modem USB o Tarjeta GPRS / 3G para Linux. Exportar Bases de Datos de Access (MDB) a MySQL Cmo bloquear fotos e imgenes porno con SafeSquid, servidor proxy 40 cosas que probablemente no sepas sobre Linux Sexo, Violencia, y Tensin en los Juegos. Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES) Programar y depurar en un IDE para PHP, plugin phpeclipse, xdebug y Remote debug Lara Croft Desnuda! No encuentro la pgina de los cojones Redireccionar puertos ( iptables / ipchains / proxy / squid ) Instalar Microsoft Office en Linux (con Wine) Activar Compiz Fusion en Ubuntu 8.10 Desktop (NVIDIA GeForce FX 5200) Conexin Linux GPRS/EDGE via bluetooth, Cmo. Descargar videos de YouTube y Google video con Firefox Servidor de Archivos Samba con SWAT en Fedora. Activar Compiz Fusion en Ubuntu 8.04 LTS Desktop (NVIDIA GeForce FX 5200)

Tutorial de Linux

Publicidad | Tienda LinuxParty | Link3 Copyleft LinuxParty 2012.

8 de 8

09/08/2012 15:24