Instalacion De Snort

CAPÍTULO 4

Instalación y configuración de Snort

1 Introducción

En primer lugar antes de proceder a la instalación y configuración de Snort, se van a

describir las distintas posibilidades para la ubicación del IDS en la red. La colocación de Snort

en la red se debe de realizar en función del tráfico que se quiere vigilar: paquetes entrantes,

salientes, dentro del firewall, fuera del firewall...

Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlación

en la red. Así la interoperabilidad permite que un sistema IDS pueda compartir u obtener

información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar

las características de la red de acuerdo a los eventos que se generan. Se puede colocar el IDS de

las siguientes formas:

• Delante del firewall: De esta forma el IDS puede comprobar todos los ataques

producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de

información en los logs, que puede resultar contraproducente

• Detrás del firewall: Snort colocado detrás del firewall suele ser la ubicación

característica, puesto que permite analizar, todo el trafico que entra en la red (y que

sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall.

Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido

bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la

producida en el caso anterior.

• Combinación de los dos casos: Combinando la colocación del IDS delante y detrás del

firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre

ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas

para implementarlo.

• Firewall/NIDS: Otra opción es usar una única máquina que haga las funciones de

firewall y de NIDS a la vez.

• Combinaciones avanzadas: Se utilizan para cubrir necesidades de seguridad más

altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts

individuales.

Una vez que se ha seleccionado la ubicación del IDS en nuestra red se procede a su

instalación y configuración. Seguidamente se describe el proceso seguido para ello.

56 Diseño y optimización de un sistema de detección de intrusos híbrido

2 Deshabilitar firewall y selinux

En primer lugar se definen los términos firewall y selinux.

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra

intrusiones provenientes de redes de terceros (generalmente desde Internet). Un sistema de

firewall filtra paquetes de datos que se intercambian a través de Internet. Por lo tanto, se trata de

una pasarela de filtrado que comprende al menos las siguientes interfaces de red:

• Una interfaz para la red protegida (red interna)

• Una interfaz para la red externa.

Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el

kernel 2.6.x usando los módulos de seguridad linux. SELinux define el acceso y los derechos de

transición de cada usuario, aplicación, proceso y archivo en el sistema. Gobierna la interacción

de estos sujetos y objetos usando una política de seguridad que especifica cuán estricta o

indulgente una instalación de Red Hat Enterprise Linux dada debería de ser.

El componente SELINUX puede deshabilitarse durante el proceso de instalación o bien,

si ya se tiene instalado en el sistema, se deberá modificar el fichero /etc/selinux/config

realizando las siguientes modificaciones:

SELINUX=disabled

SELINUXTYPE=targeted

Con objeto de no tener problemas en el proceso de instalación del sistema, se va a

deshabilitar el cortafuegos iptables ejecutando:

iptables –F

Posteriormente se guarda la configuración con:

iptables-save >/etc/sysconfig/iptables

3 Instalación automática

Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas:

intalándolo y compilándolo manualmente o descargando los paquetes ya compilados.

Si se desea instalar Snort y Mysql directamente desde las fuentes, bastará con ejecutar el

comando:

yum install snort

O yum install snort-mysql si se quiere descargar snort para que almacene las alertas en

mysql. Así se descargarán ya los paquetes compilados de snort y mysql y las dependencias

necesarias (libpcap, pcre,..).

La forma más sencilla es instalarlo directamente a través de un gestor de paquetes

(como yum) pero es importante instalarlo de forma manual porque de esa forma se puede

personalizar y adaptar Snort a nuestras necesidades. A continuación se describe el

procedimiento para la instalación manual de Snort.

Capítulo 4. Instalación y configuración de Snort 57

4 Instalación y compilación manual

Hay que tener en cuenta que si se pretende realizar la instalación de forma manual, se

debe de instalar en primer lugar mysql, para indicarle a Snort que almacene sus alertas en dicha

base de datos.

Antes de realizar la instalación de Snort se deben de instalar las dependencias: gcc-c++.

Para instalar el compilador de forma automática se debe ejecutar el siguiente comando:

yum install gcc-c++

Flex

Flex (www.gnu.org/software/flex) es un rápido generador analizador léxico. Es una

herramienta para generar programas que realizan concordancia de patrones en el texto. Flex es

un servicio gratuito (pero no-GNU) de la implementación del programa lex de Unix.

Se puede descargar y compilar flex de la página oficial o ejecutando el comando:

yum install flex

Bison

Bison (www.gnu.org/software/bison) es un generador analizador de propósito general

que convierte una gramática de libre contexto en un LALR o un analizador GLR para esta

gramática.

Se puede descargar y compilar flex de la página oficial o ejecutando el comando:

yum install boison

Libpcap

Libcap es una librería de programación de paquetes de TCP/IP requerida en la mayoría

de programas que analizan y monitorizan el tráfico en una red. Para instalar libpcap hay que

realizar los siguientes pasos:

En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz de Internet:

www.tcpdump.org

• Se descomprime el paquete ejecutando:

tar xvfz libpcap-0.9.8.tar.gz

• Se compila y se instala ejecutando los comandos:

cd libpcap-0.9.8

./configure

make

make install

58 Diseño y optimización de un sistema de detección de intrusos híbrido

Pcre

PCRE es una librería que implementa funciones de pattern maching. Para instalar pcre

hay que realizar los siguientes pasos:

Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org)

• Se descomprime el paquete:

tar xvfz pcre-7.4.tar.gz.

• Finalmente se compila y se instala ejecutando los comandos:

cd pcre-7.4

./configure.

make.

y make install.

Una vez instaladas las dependencias, para instalar snort hay que seguir los siguientes

pasos:

Se descarga el paquete snort-2.8.0.1.tar.gz de Internet (www.snort.org)

• Se descomprime el paquete ejecutando

tar xvfz snort-2.8.0.1.tar.gz

• Se compila y se instala ejecutando para ello:

cd snort-2.8.0.1

./configure

make

make install.

En el caso de que se quiera compilar Snort para que tenga soporte para MySQL, se

deben de tener en cuenta las siguientes consideraciones:

• Se deben de instalar primero las librerías de MySQL. Para ello se debe de ejecutar:

yum install mysql-devel

• Finalmente se compila Snort ejecutando el comando:

./configure --with-mysql

make

make install

5 Configuración

En primer lugar para configurar Snort se van a crear los directorios que necesita para

trabajar:

• Se crea el directorio de trabajo de snort:

mkdir /etc/snort

• Se crea el directorio donde se van a guardar las firmas:

mkdir /etc/snort/rules

• Se crea el directorio donde va a guardar el registro de actividad:

mkdir /var/log/snort

Capítulo 4. Instalación y configuración de Snort 59

adduser snort

chown snort /var/log/snort

• Se crea el fichero de configuración local:

touch /etc/sysconfig/snort

• Se copia el ejecutable a su directorio de trabajo:

cp /usr/local/bin/snort /usr/sbin

A continuación se deben copiar los ficheros necesarios para poder trabajar con Snort:

• Ficheros de configuración.

Se copia el fichero snort.conf en /etc/snort/ de la siguiente forma:

cp /root/snort-2.8.0.1/etc/snort.conf /etc/snort/

Se copia el fichero unicode.map en /etc/snort ejecutando:

cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/

Se copia el script de inicio del servidor:

cp /root/snort-2.8.0.1/rpm/snortd /etc/init.d/

chmod 755 /etc/init.d/snortd

• Firmas:

Se deben de descargar las firmas de Snort desde www.snort.org y descomprimIr las

firmas en la carpeta /etc/snort/rules.

Posteriormente se copian los archivos con la extensión .config en el directorio /etc/snort.

...