Beruflich Dokumente
Kultur Dokumente
SEMESTRE : 2012 - I
1
2.1. DISEÑO DE IMPLEMENTACION
1 Switch.
1 PC servidor
2 PC Clientes para nuestra LAN
Cables par trenzado 3
Conectores RJ45.
Sistema Operativo Windows 7
SERVIDOR
SWITCH
192.168.70.10
2
2.2. INSTALACION Y CONFIGURACION
Para la instalación del Snort 2.9.2.3. Lo único que hay que subrayar en el
proceso de instalación, es que en un momento dado nos preguntará la opción
de instalación, la cual seleccionamos “I do not plan to log to a database, or I am
planning to log to one of the databases listed above” y presionamos Next para
continuar.
3
Una vez instalado el Snort, descargamos los reglas de la web de Snort en la
pagina: http://www.snort.org/snort-rules/, para nuestro caso la versión:
snortrules-snapshot-2923.tar.gz, lo descomprimimos y copiamos las carpetas
descomprimidas en la carpeta: C:\Snort, remplazando las carpetas existentes.
4
y las modificamos de la siguiente manera:
# such as: c:\snort\rules
var RULE_PATH c:\snort\rules
var SO_RULE_PATH c:\snort\so_rules
var PREPROC_RULE_PATH c:\snort\preproc_rules
5
5. Nos dirigimos a las siguientes líneas de código:
y cambiamos el backslash:
# Set the absolute path appropriately
var WHITE_LIST_PATH ..\rules
var BLACK_LIST_PATH ..\rules
nested_ip inner, \
whitelist $WHITE_LIST_PATH\white_list.rules, \
blacklist $BLACK_LIST_PATH\black_list.rules
OJO: Creamos el archivo: white_list.rules, en la carpeta: C:\Snort\rules
y lo modificamos por:
include $RULE_PATH/black_list.rules
6
# Setup the network addresses you are protecting
var HOME_NET 192.168.70.0/22
# Set up the external network addresses. Leave as "any" in most situations
var EXTERNAL_NET !$HOME_NET
Definimos la siguiente regla para que capture los ping que realiza el servidor,
para la cual nos dirigimos a la carpeta: C:\Snort\rules y buscamos el archivo
milocal.rules y agregamos dentro del archivo la siguiente línea:
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001;)
7
La carpeta C:\Snort\log ira almacenando las direcciones que el servidor hace
ping:
Lo primero que tenemos que hacer es descargar el driver ODBC Mysql, debido
a los problemas de compatibilidad que se pueden encontrar, el nombre del
archivo es mysql-connector-odbc-5.1.11-win32.msi y lo descargamos desde la
página: http://dev.mysql.com/downloads/connector/odbc/, lo instalamos y
proseguimos con la isntalacion del Mysql.
8
Seleccionamos la instalación típica, paro no consumir todos los recursos del
equipo.
9
Seleccionamos configuración a detalle y pulsamos Next.
10
Una vez finalizado la instalación del Mysql Server, podemos acceder desde la
línea de comando de Windows o el propio comando de Mysql.
11
4. Damos permisos al usuario con el que se modificara la base de datos snort
de la siguiente manera: grant insert,select,update,create,delete on snort.* to
snort_admin@localhost identified by zoltan;
5. Accedemos y mostramos las tablas de mysql:
use mysql;
show tables;
6. Seleccionamos la tabla user y mostramos los usuarios existentes:
select User from user;
select User, Host from user;
select User, Host, Password from user;
7. Damos privilegios: flush privileges;
8. Nos retiramos del usuario root de mysql: quit;
Nos conectamos con el usuario snort_admin, cuya contraseña es zoltan:
mysql -u snort_admin -p
12
Para la configuración y creación de la base de datos donde se trabajara,
seguimos los siguientes pasos:
Ahora tenemos que modificar el archivo snort.conf para que el snort interactúe
con el Mysql. Lo único que tenemos que modificar es descomentar la línea:
13
2.2.3. Instalación y configuración de ACID
Echo esto solamente nos queda configurar el ACID, y para esto debemos bajar
dos ficheros, para que interactúan la interfaz. Debemos descargar el adodb517,
desde la pagina: http://sourceforge.net/projects/adodb/files/adodb-php5-
only/adodb-517-for-php5/adodb517.zip/download y el PHPlot desde la pagina:
http://ufpr.dl.sourceforge.net/project/phplot/phplot/5.8.0/phplot-5.8.0.zip. Con
estos archivos lo único que tenemos que hacer es descomprimirlos en el
directorio raíz de Snort.
14
Para la instalación del ACID, lo descargamos desde la página:
http://acidlab.sourceforge.net/, cuya versión es acid-0.9.6b23.tar.gz, lo
descomprimimos en el directorio raíz del servidor web, que en nuestro caso
seria C:\wamp\www.
15
Hacemos click en Setup page:
16
Hacemos click en Main Page y vemos como van las alertas registradas por
Snort:
17