ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

Maestra en Gestin de las Comunicaciones y Tecnologas de la Informacin

SEGURIDADES DE LA INFORMACIN INSTALACIN DE SNORT Abstracto: La masificacin del uso de Internet, el crecimiento de los Sistemas Informticos, la importancia de precautelar la informacin de las Organizaciones por considerarse uno de los activos ms importantes, mismo que si es utilizado eficazmente se convierte en herramienta para crear estrategias de competitividad frente a sus competidores. Es por ello que se ver la utilizacin de una alternativa de Software Libre para monitorear el acceso a la informacin como es el caso de Snort, pues es una de las herramientas de seguridad que mayormente vienen instalados en los apliances de seguridad de frontera. l indica el nombre log h indica Ip host o red b el log con formato binario.

1.

DESCRIPCIN

Para el desarrollo del presente taller se utilizar una plataforma de Sistema Operativo Centos 32 bits versin 5.5 para la instalacin de Snort. Para representar una informacin ms real se analizar servidores con flujo de trfico real, los mismos que pertenecen a una entidad pblica. Snort en realidad no es complejo instalar pero sera necesario tener conocimiento de administracin de redes y de administracin de la plataforma Linux. 2. MODOS DE OPERACIN Snort, puede actuar en los siguientes modos: Modo de Sniffer, modo bsico que permite ver los paquetes TCP/IP de la red en una terminal de Centos. Opciones: v ver cabeceras d ver data e ver ms descriptiva Ejemplo ./snort -dev Modo de Paket Loger, permite guardar un log del escaneo de un host o red. Opciones:

Ejemplo: ./snort -dev -l /log-snort1.log -h 192.168.20.0/24 La opcin -b permite guardar el log en formato binario que ser analizado con un visualizador de formato tcpdump Puede ser tcpdump,ethereal o snort con opcin -r Ejemplo ./snort -dv -r log-snort.log Modo NIDS, Snort en modo Network Intrusion Detection System; este modo opera bajo un archivo de configuracin en el que se define ciertas reglas Opciones: c llama file system de configuracin A Modo de alerta s enviar alertas a syslog Si no se especifica la salida del log, por defecto se registrar en /va/log/snort Ejemplo: ./snort -d -l ./log-snort2.log -h 192.168.20.0/24 -c snort.conf Snort permite definir varios niveles de alertas con la opcin -A Opciones: -A fast alerta en simple formato indica tiempo, mensaje alerta, IP/puerto de origen/destino -A full por defecto si no se indica nada -A none desactiva alerta -A console salida a consola Ejemplos: ./snort c snort.conf -A fast -h 192.168.20.0/24 -l 3. INSTALACIN

PRE-REQUISITOS. Se debe verificar la instalacin de las siguientes libreras, adems de los compiladores. Se recomienda instalar las libreras ms actualizadas o

14/12/2010, Por :Saulo Paillacho

Prof. Ing Walter Fuertes

1/3

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

Maestra en Gestin de las Comunicaciones y Tecnologas de la Informacin

SEGURIDADES DE LA INFORMACIN las recomendadas del sitio de Snort, pues pues al estar des-actualizadas no son compatibles: Compilador: yum install gcc Libreras: libpcap, PCRE, libnet/libdnet libpcap: (packet capture) Descargar y descomprimir las libreras wget http://www.tcpdump.org/release/libpcap1.1.1.tar.gz tar -xzvf libpcap-1.1.1.tar.gz En el directorio desempaquetado compile e instale cd libpcap-1.1.1 ./configure makftp://ftp.csx.cam.ac.uk/pub/software/programmi ng/pcre/pcre-8.11.tar.gze make install pcre: (Perl Compatible Regular Experssions), para integrar Apache con PHP. Bajar y descomprimir wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/p cre/pcre-8.11.tar.gz Situado en el directorio desempaquetado configure e instale tar -xzvf pcre-8.11.tar.gz ./configure; make; make install libnet: Librera que permite acceso a varios protocolos. Para esta plataforma y versin se requiere la librera libdnet y la librera daq. Descomprima la librera descargada tar -xzvf libnet-0.10.11.tar.gz ./configure; make; make install Una vez instalado las libreras de pre-requisitos procedemos a instalar snort. Snort: Baje las fuentes o los binarios, para nuestro caso instalaremos desde lo fuentes; lo descomprimimos, configuramos he instalamos. cd snort-2.9.0.2 ./configure; make; make install Si desea trabajar con registros dentro de una base de datos como Postgres o MySql primero instale el utilitario Para futuras talleres aqu instaremos Postgres. Recomendacin: La instalacin de Snort puede tornarse difcil, siga las recomendaciones intuitivas que le indica la plataforma en la que se encuentra trabajando e instale las libreras recomendadas; lo mejor es trabajar con las ltimas versiones. Puede ser del caso que aun habiendo instalado no lo reconozca cierta librera por lo que deber indicar la ruta al momento de compilar. Ejemplo: ./configure with-libpcaplibraries=/root/tmpadmin/snort/libpcap-1.1.1

Ejecucin taller: Pantalla de salida en Modo Sniffer snort -dev -h 192.168.20.1/24

12/12-22:23:52.003619 08:00:27:D6:2A:6F -> 70:F1:A1:63:2D:50 type:0x800 len:0xC2

192.168.1.3:22 -> 192.168.1.5:39036 TCP TTL:64 TOS:0x10 ID:40475 IpLen:20 DgmLen:180 DF

***AP*** Seq: 0xDDB9A7F4 Ack: 0xE4D98E93 Win: 0x41F TcpLen: 32

TCP Options (3) => NOP NOP TS: 9881830 1181664

27 D0 AB F0 0B C3 AA B6 E1 E7 4A 9D DA FE 94 99 '.........J.....

9C 74 81 7B 27 84 01 B0 EF B2 64 93 E6 90 E3 9B .t. {'.....d.....

1A EC 78 A6 F9 7E 68 B8 81 A7 AF EC 16 15 03 53 ..x..~h........S

14/12/2010, Por :Saulo Paillacho

B2 52 C1 Prof. Ing9B 09 B8 5B 44 10 FB F7 72 1C 75 C92/3 2C Walter Fuertes [D...r.u.R.,

....

ESCUELA POLITCNICA NACIONAL

FACULTAD DE INGENIERA DE SISTEMAS

Maestra en Gestin de las Comunicaciones y Tecnologas de la Informacin

SEGURIDADES DE LA INFORMACIN snort -dev -h 192.168.20.1/24 -l ./log/ Este comando nos registrar el log en el directorio que posteriormente lo leeremos en con opcin -r. snort -dvr log/snort.log.1292211530 Ventajas: Aumento la seguridad efectiva de los sistemas de informacin Garantizar la continuidad del negocio Correcta planificacin y gestin de la seguridad Mejora continua a travs de auditoras Incrementos de los niveles de confianza Aumento de valor comercial y mejora de la Gestin de riesgos REFERENCIAS

1. 2. 3. 4. 5.

http://www.snort.org http://www.tcpdump.org/ http://www.pcre.org/ http://libnet.sourceforge.net/ http://code.google.com/p/libdnet/download s/list

14/12/2010, Por :Saulo Paillacho

Prof. Ing Walter Fuertes

3/3