Instalacion De Snort
Enviado por pedro1971 • 10 de Octubre de 2014 • 3.240 Palabras (13 Páginas) • 255 Visitas
CAPÍTULO 4
Instalación y configuración de Snort
1 Introducción
En primer lugar antes de proceder a la instalación y configuración de Snort, se van a
describir las distintas posibilidades para la ubicación del IDS en la red. La colocación de Snort
en la red se debe de realizar en función del tráfico que se quiere vigilar: paquetes entrantes,
salientes, dentro del firewall, fuera del firewall...
Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlación
en la red. Así la interoperabilidad permite que un sistema IDS pueda compartir u obtener
información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar
las características de la red de acuerdo a los eventos que se generan. Se puede colocar el IDS de
las siguientes formas:
• Delante del firewall: De esta forma el IDS puede comprobar todos los ataques
producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de
información en los logs, que puede resultar contraproducente
• Detrás del firewall: Snort colocado detrás del firewall suele ser la ubicación
característica, puesto que permite analizar, todo el trafico que entra en la red (y que
sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall.
Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido
bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la
producida en el caso anterior.
• Combinación de los dos casos: Combinando la colocación del IDS delante y detrás del
firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre
ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas
para implementarlo.
• Firewall/NIDS: Otra opción es usar una única máquina que haga las funciones de
firewall y de NIDS a la vez.
• Combinaciones avanzadas: Se utilizan para cubrir necesidades de seguridad más
altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts
individuales.
Una vez que se ha seleccionado la ubicación del IDS en nuestra red se procede a su
instalación y configuración. Seguidamente se describe el proceso seguido para ello.
56 Diseño y optimización de un sistema de detección de intrusos híbrido
2 Deshabilitar firewall y selinux
En primer lugar se definen los términos firewall y selinux.
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra
intrusiones provenientes de redes de terceros (generalmente desde Internet). Un sistema de
firewall filtra paquetes de datos que se intercambian a través de Internet. Por lo tanto, se trata de
una pasarela de filtrado que comprende al menos las siguientes interfaces de red:
• Una interfaz para la red protegida (red interna)
• Una interfaz para la red externa.
Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el
kernel 2.6.x usando los módulos de seguridad linux. SELinux define el acceso y los derechos de
transición de cada usuario, aplicación, proceso y archivo en el sistema. Gobierna la interacción
de estos sujetos y objetos usando una política de seguridad que especifica cuán estricta o
indulgente una instalación de Red Hat Enterprise Linux dada debería de ser.
El componente SELINUX puede deshabilitarse durante el proceso de instalación o bien,
si ya se tiene instalado en el sistema, se deberá modificar el fichero /etc/selinux/config
realizando las siguientes modificaciones:
SELINUX=disabled
SELINUXTYPE=targeted
Con objeto de no tener problemas en el proceso de instalación del sistema, se va a
deshabilitar el cortafuegos iptables ejecutando:
iptables –F
Posteriormente se guarda la configuración con:
iptables-save >/etc/sysconfig/iptables
3 Instalación automática
Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas:
intalándolo y compilándolo manualmente o descargando los paquetes ya compilados.
Si se desea instalar Snort y Mysql directamente desde las fuentes, bastará con ejecutar el
comando:
yum install snort
O yum install snort-mysql si se quiere descargar snort para que almacene las alertas en
mysql. Así se descargarán ya los paquetes compilados de snort y mysql y las dependencias
necesarias (libpcap, pcre,..).
La forma más sencilla es instalarlo directamente a través de un gestor de paquetes
(como yum) pero es importante instalarlo de forma manual porque de esa forma se puede
personalizar y adaptar Snort a nuestras necesidades.
...