INSTALACION Y CONFIGURACION

(NIDS) -SNORT EN UBUNTU

ALFREDO SANCHEZ CONTRERAS

PRESENTADO A: Ing. JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE
SISTEMAS
SAN JOSE DE CUCUTA
2013

INSTALACION Y CONFIGURACION
(NIDS) -SNORT EN UBUNTU

ALFREDO SANCHEZ CONTRERAS
CODIGO: 0152605

PRESENTADO A: Ing. JEAN POLO CEQUEDA

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE
SISTEMAS
SAN JOSE DE CUCUTA
2013

Hay varias razones para adquirir y usar un IDS: . Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad. integridad. Las intrusiones se pueden producir de varias formas: atacantes que acceden a los sistemas desde Internet. ¿Por qué utilizar unIDS? La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red y la dependencia que tenemos hacia los sistemas de información.Sistemas de Detección de Intrusos ¿Qué es un Sistema de Detección de iIntrusos? Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión. usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados y usuarios autorizados que hacen un mal uso de los privilegios que se les han asignado. Los IDSs han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de la organización. disponibilidad o evitar los mecanismos de seguridad de una computadora o red.

Clasificación de los IDSs Existen varias formas de clasificar los IDSs: . Documentar el riesgo de la organización.• • • • • Prevenir problemas al disuadir a individuos hostiles. Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades). Proveer información útil sobre las intrusiones que se están produciendo. Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección.

Podemos estableces dos categorías distintas: ENTORNO MONITORIZADO Un IDS puede monitorizar eventos locales (HIDS) o eventos en una red (NIDS). Estos IDSs detectan ataques capturando y analizando paquetes de la red. Respuestas activas Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de intrusiones son detectados. Respuestas pasivas En este tipo de respuestas se notifica al responsable de seguridad de la organización. . Las activas lanzan automáticamente respuestas a dichos ataques.ESTRATEGIA DE RESPUESTA Las repuestas las podemos agrupar en dos tipos: pasivas y activas. protegiendo así a estos hosts. si procede. IDSs basados en red (NIDS) La mayor parte de los sistemas de detección de intrusos están basados en red. Escuchando en un segmento. un NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están conectados a ese segmento de red. que se encargarán de tomar acciones al respecto. al usuario del sistema atacado o a algún CERT de lo sucedido. Las pasivas envían informes a personas.

. Detección de anomalías: el análisis busca patrones anormales de actividad. ESTRATEGIA DE DETECCION Hay dos acercamientos al análisis de eventos para la detección de ataques: Detección de abusos: técnica usada por la mayoría de sistemas comerciales. los HIDSs puede ver el resultado de un intento de ataque. TECNICA DE ANALISIS Sistemas basados en el conocimiento Basados en reglas de tipo if-then-else. La detección de anomalías es usada de forma limitada por un pequeño número de IDSs.A menudo están formados por un conjunto de sensores localizados en varios puntos de la red. ha sido y continúa siendo objeto de investigación. esta se disparara. IDSs basados en host (HIDS) A diferencia de los NIDSs. si algún evento captado del entorno satisface todas las precondiciones de una regla. al igual que pueden acceder directamente y monitorizar los ficheros de datos y procesos del sistema atacado.

o bien el uso legitimo del sistema. Análisis de transición de estados Se trata de autómatas _nitos que a través de transiciones basadas en los estados de seguridad del sistema. como el software IDS o la base de datos. De esta decisión dependerá tanto el equipo que usemos. ¿Dónde colocar un IDS? La decisión de donde localizar el IDS es la primera decisión que hay que tomar una vez que estamos dispuestos a instalar un IDS. Sistemas basados en métodos estadísticos Se basan en modelizar el comportamiento de los usuarios en base a métricas extraídas (estrategia de detección de anomalías) de los registros de auditorías del sistema. Una característica clásica de estos sistemas es el establecimiento de perfiles para los distintos usuarios del sistema. Sistemas basados en aprendizaje automático: Se trata de sistemas que realizan uso de técnicas que no necesitan intervención humana para extraer los modelos que representan o bien ataques.Análisis de Firmas Observa la ocurrencia de cadenas especiales en los eventos monitorizados por el IDS y los compara con los almacenados en una base de datos con firmas de ataques. . Cuando el autómata alcanza un estado considerado de peligro lanza una alerta. intentan modelar el proceso de una intrusión.

Organización Existen principalmente tres zonas en las que podríamos poner un sensor. tal y como muestra la figura 1: .

ISP ¿Qué ocurre ahora si nuestra organización es un ISP?. y que estos sensores envíen las alertas generadas a la estación de análisis (ver figura 2). . Es posible que el tráfico a la entrada de este ISP sea demasiado grande como para ser técnicamente imposible instalar un único IDS que lo analice todo. Para estos casos es necesario un sistema de detección de intrusos que pueda separar los sensores de la estación de análisis. Una posible solución podría ser la de instalar un sensor en cada uno de los nodos que conectan físicamente con las organizaciones a las que da servicio el ISP.

Gracias a su capacidad para la captura y registro de paquetes en redes TCP/IP. Un plug-in es una aplicación desarrollada conforme la API de plug-ins de Snort. generación de alertas y un motor de detección basado en usos indebidos. .SNORT Snort es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red. Podemos definir Snort como un sniffer de paquetes con funcionalidades adicionales para el registro de estos. Snort puede ser utilizado para implementar desde un simple sniffer de paquetes para la monitorización del trafico de una pequeña red. Decodificador de paquetes Un sniffer es un dispositivo (software o hardware) que se utiliza para poder capturar los paquetes que viajan por la red a la que es asociado. Cuenta con una gran popularidad entre la comunidad de administradores de redes y servicios. hasta un completo sistema de detección de intrusos en tiempo real. Tanto el preprocesador como el motor de detección y los componentes para la notificación de alertas son todos plug-ins de Snort. Arquitectura de Snort Características • • • La captura del tráfico de red El análisis y registro de los paquetes capturados Detección de tráfico malicioso o deshonesto.

Si alguna de las reglas coincide con la información obtenida. Motor de detección El motor de detección es el corazón de Snort desde el punto de vista de sistema de detección de intrusos. el plug-in para llamadas RPC o el plug-in de escaneo de puertos). Para ello. por ejemplo. el motor de detección contrasta estos datos con su base de reglas. A partir de la información proporcionada por el preprocesador y sus plug-ins asociados. el decodificador de paquetes deber´a ser capaz de capturar todo aquel tr´afico que le sea posible Preprocesador el preprocesador ir´a obteniendo paquetes sin tratar (raw paquets) y los verificar´a mediante un conjunto de plug-ins (como. .El decodificador de paquetes de Snort ser´a el elemento encargado de recoger los paquetes que m´as adelante ser´an examinados y clasificados por el resto de componentes. Estos plug-ins verificar´an los paquetes en busca de ciertos comportamientos en ´estos que le permita determinar su tipo. el motor de detección se encargará de avisar al sistema de alertas indicando la regla que ha saltado.

ataques contra servicios web. esta alerta puede suponer la generación de un fichero de registro (log).) y deben ser actualizados a menudo. por ejemplo. el motor de detección hace uso de los conjuntos de reglas asociados a Snort. Estos conjuntos de reglas están agrupados por categorías (troyanos. ser enviada a través de la red mediante un mensaje SNMP o incluso ser almacenada de forma estructurada por algún sistema gestor de basede datos como. el motor de detección de Snort se basa en una detección de usos indebidos a través de un reconocimiento de firmas de ataque. . etc. Sistema de alertas e informes Mediante este componente será posible realizar esta función. MySQL o Postgres. Cuando una alerta es lanzada por el motor de detección. buffer overflows. Para ello.Como ya adelantábamos. pudiendo generar los resultados en distintos formatos y hacia distintos equipos.

Acid Base Conjunto de scripts escritos en PHP que proporcionan una interfaz entre un navegador web y la base de datos donde Snort ira almacenando las alertas. INSTALACION Y CONFIGURACION DE SNORT EN UBUNTU 1. Instalación de apache sudo apt-get install apache2 .

Instalar mysql.2.d/apache2 restart 3.server sudo apt-get install mysql-server . Reiniciar apache sudo /etc/init.

instalar ph5 php5-mysql sudo apt-get install ph5 php5-mysql 5.php .php Verificar info. configurar info.php sudo gedit/var/www/info.4.

instalar snort-mysql y snort-doc acidbase sudo apt-get install snort-mysql snort-doc acidbase Configuración de snort-mysql configuracion de acidbase .6.

. 8.7. crear el usuario snort Mysql –u root –h localhost –p create user ‘snort’@’localhost’ identified by ‘alfredo’. y asignar privilegios create database snort. Crear la base de datos snort.

configuración de snort-mysql .9.

conf sudo gedit /etc/snort/snort.conf .10. reiniciar y editar snort .

11.php .php sudo gedit /etc/acidbase/database. editar database.

verificar en el navegador acidbase . Reiniciar apache y snort 13.12.

14. ejecutar snort snort –v .

.

configuración de las reglas. Se van a configurar 3 reglas: http.15. y ping . lectura de puertos con nessus.

y la de ping . para agregar la regla creada anteriormente. y comentamos todas las demás reglas.conf.Luego editamos snort. http. para que solo funcione la nuestra. Corremos snort nuevamente: Verificamos que funcionen las reglas: para este caso.