PRACTICA DE SNORT

INTRODUCCIÓN

Para la realización de este trabajo se puede instalar a herramienta Snort sobre el sistema operativo Windows, se da una breve descripción de lo que es Snort y se mostran sus principales, MySql y ACID para un entorno Windows. El hecho de realizar el trabajo sobre Windows, es debido a que en la web se puede encontrar mucha literatura sobre los Pormayores y pormenores de la instalación de Snort para Linux, así como cursos de gestión de redes UNIX, mientras que de Windows no se encuentra gran cosa.

Creemos que toda la ayuda para comenzar a utilizar Snort queda bien plasmada en el documento, no obstante, las web http://www.snort.org tiene una gran fuente de ayudas, foros, y documentación que podrá servir de ayuda para los interesados en los IDS.

¿QUÉ ES SNORT?

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.

Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque.

Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

La característica más apreciada de Snort, además de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está actualizando constantemente y a la cual se puede añadir o actualizar a través de la Internet. Los usuarios pueden crear 'firmas' basadas en las características de los nuevos ataques de red y enviarlas a la lista de Correo de firmas de Snort, para que asiera todos los usuarios de Snort se puedan beneficiar.

Podemos señalar que Snort es una herramienta que a pleno funcionamiento consume muchos recursos. Por este motivo, y debido al hecho de que estamos monitorizando una sola máquina, hemos decidido para este trabajo utilizar la base de datos de reglas que no necesita registro por internet, si no que se crea en el mismo momento de la creación de la versión que utilizaremos de Snort, con el fin de no cargar las máquinas de los compañeros que quieran instalar Snort para probarlo en sus PCs. No obstante, se darán las directrices a seguir por si se desea instalar el NIDS en un equipo para que monitorice con las mayores prestaciones su red, descargando las reglas registrándose en http://www.snort.org.

INSTALACIÓN Y CONFIGURACIÓN DE SNORT

Para comenzar, necesitamos la herramienta WinpCap3.1 o 4.02 descargable desde

http://www.winpcap.org/install/default.htm. Esta herramienta es básica para el funcionamiento de Snort, debido a que es la librería de bajo nivel que utilizará Snort para el acceso a redes. Es para Windows como la libCap utilizada en Linux.

Una vez instalado WinpCap, debemos acceder a la web de Snort, http://www.snort.org y descargarnos la versión de Snort para Windows desde http://www.snort.org/dl/binaries/win32/ y pasamos a instalarlo. Lo único que hay que subrayar en el proceso de instalación, es que en un momento dado nos preguntará el wizard que seleccionemos las opciones de configuración, Seleccionamos “I do not plan to log to a database, or I am planning to log to one of the databases listed above” y presionamos next para continuar. A continuación nos pedirá que seleccionemos los componentes de la instalación, los seleccionamos todos y hacemos click en next. Cuando nos pida la ruta de instalación, dejamos la que sle por defecto C:\Snort y presionamos next para finalizar la instalación.

Una vez que está instalado Snort, tenemos que proseguir con su configuración. Lo primero que tenemos que hacer es acceder a la carpeta C:\Snort\etc en este directorio encontraremos un fichero llamado snort.conf que es el fichero de configuración que utilizaremos para configurar Snort. Accedemos al fichero con un editor de texto que no corrompa el formato original del archivo (notepad o wordpad).

Entonces comenzamos la configuración:

1. Comenzamos con la configuración de la red

Como podemos ver, en snort.conf, la red que aparece por defecto

var HOME_NET any

Lo que tenemos que hacer es modificar esta variable. La podemos modificar de tres modos dependiendo de lo que queramos:

1. Una red C: var HOME_NET 192.168.1.0/24

2. Host específico : var HOME_NET 192.168.1.3/32

3. Varios Host: var HOME_NET 192.168.1.2/32,192.168.1.3/32,192.168.1.4/32

En nuestro caso lo que nos interesa es monitorizar un solo host, con lo que utlizamos el segundo modo, en nuestro caso será:

var HOME_NET IpdelHost/32

La Ip del Host se puede obtener ejecutando en comando ipconfig en la consola.

2. Seguimos con la configuración de las reglas

Para este punto lo único que tenemos que hacer es descargarnos las reglas de la web de Snort e incluirlas en el directorio c:\Snort\rules.

Como se observará en la web de Snort, hay tres conjuntos de reglas para descargar,

Subscribers , Registered y Unregistered.

Para este tutorial recomendamos descargar las Unregistered ya que cargarán menos el PC. Una vez que lo finalicemos, si se desea dejar instalado Snort y utilizarlo como servicio, es aconsejable registrarse para que podamos recibir las actualizaciones que se van realizando de las reglas.

En snort.conf, casi al final aparecen una serie

...