SNORT Snort es una herramienta muy utilizada en la Seguridad Informtica a nivel mundial.

Snort es un Sniffer de paquetes y un Sistema de Deteccin de Intrusos (IDS), el cual dispone un lenguaje interpretativo de reglas, como patrones para la monitorizacin de los sistemas informticos de una red. Define tambin una serie de reglas y filtros ya predefinidos, que se pueden ajustar a las necesidades del usuario, adems cuenta con la capacidad de almacenar todo tipo de LOGs, en una bases de datos creada en MySQL. Alrededor de Snort se han escrito libros como tambin investigaciones de seguridad, los cuales se han enfocado en los aspecto tcnicos de instalacin, configuracin, manipulacin. Si se requiere de algn libro o manual, la pagina en web de snort tiene descargas de libros y manuales gratuitos para descargar directamente. Por si todava no conocen este tipo de herramientas, IDS significa Intrusion Detection System, o sistema de deteccin de intrusos. Los IDSs utilizan distintas tcnicas de anlisis para alertar al administrador en caso de ver acciones sospechosas. Este en particular es un NIDS (N de Network) que se encarga de analizar el trfico de red, inspeccionando el contenido de los paquetes para disparar alertas, o incluso, realizar algn tipo de accin cuando detecta trafico sospechoso. utilizar un lenguaje flexible basado en reglas para describir el trfico que debera recolectar o dejar pasar, y un motor de deteccin modular. Mucha gente tambin sugiri que la Consola de Anlisis para Bases de Datos de Intrusiones

La idea es simple (implementarla no lo es tanto), Snort sniffer la red y a travs de un conjunto de reglas decide si el trfico es sospechoso. Las reglas contienen la informacin que debera contener un paquete para considerarlo sospechoso, como ser la IP origen, el port origen, la IP destino, el port destino y el contenido del paquete. En las reglas se pueden utilizar expresiones regulares y se debe incluir un mensaje que describa qu es lo que detecta. Adems del motor de deteccin, Snort provee preprocesadores. Los preprocesadores permiten a los usuarios y programadores extender la funcionalidad de Snort. El cdigo de los preprocesadores se ejecuta antes del motor de deteccin, pero despus de que el paquete fue decodificado. Es muy flexible y permite al usuario crear sus propias reglas y preprocesadores. Las reglas se almacenan en path/snort/rules/ y tienen una sintaxis simple, los preprocesadores requieren programacin. Un artculo interesante.

INSTALACION DEL SISTEMA DE VISUALIZACION DE SNORT Para proceder a instalar la interfaz de auditoria de deteccion de intrusos es necesario decargar e instalar BASE, esto desde la siguiente direccion: http://sourceforge.net/projects/secureideas/files/ Despues de descargar el paquete base-1.4.5.tar.gz, se procede a descomprimirlo en la ruta de /var/www/ utilizando los siguientes comandos: cd /var/www/ tar zxvf /usr/src/base-1.4.5.tar.gz chmod 757 base-1.4.5 Para que BASE pueda funcionar correctamente fue necesario instalar algunos paquetes, para lo cual se ejecuta: apt-get install libapache2-mod-php5 apt-get install php5-gd apt-get install php5-mysql apt-get install libphp-adodb apt-get install php-pear Ademas es necesario descargar algunos de los modulos de pear: pear upgrade pear pear install Image_Color pear install Image_Canvas-alpha pear install Image_Graph-alpha pear install Mail pear install Mail_Mime

Luego de descargar cada uno de estos paquetes se procede a abrir el navegador y se ingresa a la direccin https://localhost/base-1.4.4/setup/index.php Inicialmente se muestra una informacin, es necesario darle click a Continue

A continuacin se inicia con el primer paso de 5 que se deben seguir para finalizar con xito la configuracin de la interfaz.

PASO 1: Se debe ingresar la ruta donde se encuentra ADODB, la cual es /usr/share/php/adodb. Este paso se muestra en la siguiente imagen:

PASO 2: En este paso lo que se requiere es llenar los datos correspondientes a la base de datos:

PASO 3: Se agregan los datos para la correcta autenticacin a BASE (es un paso opcional) de la siguiente manera:

PASO 4: En este paso, BASE configura la base de datos, lo unico que se debe hacer es darle continuar, el proceso se muestra en la siguiente imagen:

PASO 5: Como ultimo paso BASE hace un direccionamiento a la pagina principal, la cual se muestra a continuacin:

Como se puede observar en la imagen anterior, se est accediendo a BASE mediante una conexin segura HTTPS gracias a la configuracin realizada previamente al servidor web apache con OpenSSL. Por ultimo se deben volver a asegurar los permisos del directorio de BASE, ingresando la siguiente instruccin en consola: chmod 755 /var/www/base-1.4.5 De esta forma finaliza la instalacin y configuracin de la interfaz del sistema de deteccin de intrusos y est lista para ser usada. Desde ahora es posible realizar cualquier peticin para luego observarla en el BASE, adems BASE permite separar los paquetes segn el protocolo: icmp, tcp y udp, adems de realizar bsquedas y ver los grficos de las alertas.

Prueba de Reglas y Visualizacin de Alertas en Base Con el fin de comprobar que las reglas que se crearon en la entrada pasada titulada Instalacin y Configuracin de un Sistema de deteccin de Intrusos estn funcionando correctamente y observar cmo se consulta el resultado de las alertas en BASE. Debemos llevar a cabo el siguiente procedimiento: Se debe hacer es activar el servicio de snort, ingresando en la terminal el comando: snort -c /etc/snort/snort.conf Se inicia BASE, ingresando en el navegador: https://localhost/base-1.4.4/ En primer lugar se procede a realizar las puebas para las reglas de protocolo TPC, las cuales se llevan a cabo por medio de Telnet. Para la Alerta que detecta cuando se est intentando acceder al script http://hacker.com/script.js, se hizo una peticion del archivo script.js desde un servidor web instalado en otra maquina virtual, esto har que se dispare la alerta. Para disparar la alerta que detecta cuando se est enviando una peticin HTTP tipo POST a un archivo .html, se realizo una peticin POST a un archivo page.html. Si se desea visualizar las alertas disparadas por SNORT mediante BASE es muy sencillo, BASE llenando una barra, especifica el protocolo con ms alertas y sus respectivos porcentajes, adems ingresando en los filtros que se muestran en el cuadro azul de la pgina de inicio se pueden visualizar mas detalles acerca de estas alertas, a continuacin una muestra de cmo se visualiza en BASE las alertas:

Finalmente se procede a realizar las pruebas para las alertas correspondientes al protocolo ICMP, para probar estas reglas fue necesario instalar hping3 en otra maquina virtual, usando la siguiente instruccin apt-get install hping3 Con el fin de probar la regla que se creo para detectar cuando se est recibiendo mensajes ICMP Netmask-Request, se envio un mensaje ICMP necesario para disparar la alerta, desde la maquina virtual donde se instalo hping3, mediante el siguiente comando hping3 c 1 192.168.125.133 --icmp-addr //siendo 192.168.125.133 la IP de la maquina donde est instalado el sistema de deteccin de instrusos SNORT. Ahora se va a probar la regla que genera una alerta cuando detecta que se est recibiendo mensajes ICMP Timestamp-Request. Ejecutando el siguiente comando hping3 c 1 192.168.125.133 --icmp-ts ya que con base es posible visualizar las alertas segun el protocolo, se selecciona ICMP y el resultado de la lista de alertas se muestra en la siguiente imagen:

Se puede concluir que SNORT es un sistema de deteccin de intrusos tan eficaz como se configuren sus reglas, y apoyado en BASE provee una plataforma de anlisis de trfico malicioso muy robusta.

BIBLIOGRAFIA

http://www.silicondefense.com/softwa re/snortsnarf/ http://www.xato.net/files.htm http://itfreekzone.blogspot.com/2010/0 6/monitoreo-de-red-ossim-reviewparte-i.html