Como Instalar Snort en Debian / Snifer y Detector de Intrusos en La Red

Bueno hace tiempo no ponemos nada por aquí pero ya es hora de dar un poco mas de movimiento a este asunto, hoy veremos como instalar snort en debian..

Para los que no saben que es snort, vamos a echar un ojo a la wikipedia:

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. leer mas….

Ahora bien vamos a ver los requisitos de snort, así que esta es la lista de programas necesarios para hacerlo funcionar de manera adecuada.

mysql-common
mysql-client
mysql-server
php5-dev
php5-gd
php5-ldap
php5-mysql
php-pear
libpcap-dev
libpcap0.8
libpcap0.8-dev
libpcre3 – Perl 5
libpcre3-dev – Perl 5
expect
gobjc
libnet0
libnet0-dev
libmysql++-dev
libapache2-mod-php5
php5-cgi

PHP, bases de datos SQL, Perl, aplicaciones para capturar paquetes, entre otras cosas..

No nos liaremos a compilar nada, y nos aseguraremos de que tenemos los repositorios actualizados.. y si en algún momento no se encuentra algún paquete, tendrán que buscar el repositorio adecuado o instalar el paquete a mano..

Aunque ya tenemos un tutorial de como instalar SQL y PHP pues aquí va una forma sencilla, como dije no nos liamos a compilar nada..

Instalar MySqlL

:# apt-get install mysql-common mysql-client mysql-server

Si todo va bien instalamos el resto de los requisitos de una sola vez.

:# apt-get install php5-dev php5-gd php5-ldap php5-mysql php-pear libnet1
libnet1-dev libpcap-dev libpcap0.8 libpcap0.8-dev libpcre3 expect gobjc libpcre3-dev flex libnet0
libnet0-dev bison libmysql++-dev libapache2-mod-php5 php5-cgi

Ahora bien, si esta todo listo, procedemos a levantar el SQL de forma segura..


Configurar mysql para mejorar la seguridad

:# mysql_secure_installation

Seguimos los pasos y configuramos detalladamente a nuestra medida, en alguna parte nos pedirá la contraseña para el admin, cosa que pondremos claro esta !

Hay unas cuantas cosas importantes a las que tenemos que responder que si….

Eliminar usuarios anónimos………….
Deshabilitar loguearse como root remotamente…………..
Eliminar las bases de datos de pruebas y el acceso a ellas……….
Reiniciar los privilegios de las tablas…………..

A todo si, eso nos ayudara un poco en la seguridad del MySQL…

Luego solo nos aseguramos de que esta corriendo mysql con este comando:

:# netstat -ntlp | grep mysql

Con eso tenemos.. por ahora.. así que vamos al siguiente paso.. a lo que venimos !

Instalar y configurar SNORT

Antes de comenzar necesitamos snort, ultima versión de este y las reglas de snort, ( Snort Rules ), las podemos descargar desde la web de snort, en snort.org

Luego, descomprimimos todo, entramos a la carpeta donde esta snort y comenzamos a compilar… OJO solo snort, snort rules lo dejamos para después

Configuramos con Mysql:

:# ./configure –enable-sourcefire –enable-targetbased –enable-flexresp –with-mys

Eso nos llevara un rato, pero si no hay errores podemos proseguir

Primero

:# make

Y si va bien

:# make install

Ahora bien.. creamos unos directorios para que funcione bien, eso si no se crearon…….

En etc para la configuración:

:# mkdir /etc/snort

Y en /var/Log para guardar los logs:

:# mkdir /var/log/snort

Ahora bien descomprimimos la carpeta snort rules en /etc/snort o bien, la descomprimimos donde sea y la movemos a ese directorio que al fin y al cabo es el mismo resultado.

Bien, ahora copiamos algunos archivos de configuración que necesitara snort.

:#cp -r preproc_rules /etc/snort && cp etc/*.conf* /etc/snort && cp etc/*.map /etc/snort

Ahora hacemos un enlace simbólico de sbin al sbin de snort:

:# ln -s /usr/local/bin/snort /usr/sbin/snort

Como todo programa necesitaremos un grupo y un usuario para que funcione, los creamos.

El grupo para snort

:# groupadd snort

Y el usuario

:# useradd -g snort snort

Ahora usamos chown para cambiar el propietario

:# chown snort:snort /var/log/snort

Bien.. todo listo.. bueno.. casi.. pasamos a editar el archivo de configuración de snort..

Si tienen entorno gráfico les será mas fácil usar gedit pero si no pues usaremos nano.

:# nano /etc/snort/snort.conf

En este fichero buscamos esta linea

RULE_PATH ../rules

Y la remplazamos por la que habíamos configurado mas arriba..

var RULE_PATH /etc/snort/rules

Buscamos

PREPROC_RULE_PATH ../preproc_r

Remplazamos por

PREPROC_RULE_PATH /etc/snort/preproc_rules

Buscamos

output database: log, mysql, user=root password=test dbname=db host=localhost

Remplazamos con

output database: log, mysql, user=USERNAME password=PASSWORD
dbname=DATABASENAME host=HOST

Ahora bien pondremos usuario, contraseña, base de datos y host

USERNAME = usuario
PASSWORD = contraseña
DATABASENAME = bd
HOST = host

Ahora vamos al final y buscamos estas dos lineas y las descomentamos:

# include $PREPROC_RULE_PATH/preprocessor.rules
# include $PREPROC_RULE_PATH/decoder.rules

Guardamos y salimos del editor..

La segunda parte y la creación de la base de datos pues, es muy sencilla, es simplemente crear una base de datos para snort como lo haríamos normalmente, para no liarlos con la consola pueden usar phpmyadmin para este propósito…

Ahora bien la ultima parte

Probando Snort

Bueno para probr que la configuración esta bien ejecutamos:

:# snort -c /etc/snort/snort.conf

A de salir algo como esto:

[ Port and Service Based Pattern Matching Memory ]
+-[AC-BNFA Search Info Summary]——————————
| Instances : 284
| Patterns : 23051
| Pattern Chars : 156930
| Num States : 90782
| Num Match States : 12254
| Memory : 3.87Mbytes
| Patterns : 1.03M
| Match Lists : 1.43M
| Transitions : 1.30M
+————————————————-
–== Initialization Complete ==–

y sigue bla bla bla

SI no hay error todo anda bien.

Ahora bien para que snort pueda usar su script de inicio necesitamos cambiar los permisos y el propietario..

Dos simples comandos

:# chown snort:snort /var/log/snort/alert
:# chmod 600 /var/log/snort/alert

Segunda parte aquí


Así nos han encontrado!

  • snort debian
  • instalar snort en debian
  • debian snort
  • configurar snort
  • como instalar snort en debian
  • configurar snort en debian
  • instalar snort en debian 6
  • instalar snort
  • instalar snort en linux
  • como instalar snort en ubuntu
  • instalar snort debian
  • snort para debian
  • configurar snort debian
  • como montar snort en ubuntu paso a paso
  • snort
  • ESCANEOS CON SNORT
  • instalar snort ubuntu
  • como instalar snort
  • snort debian 6
  • como configurar SNORT

9 Responses to Como Instalar Snort en Debian / Snifer y Detector de Intrusos en La Red

  1. Flor dice:

    hola me podrian explicar como realizo este paso, pero mas especificos pues hal realizarlo me arroja un errot ” Eso nos llevara un rato, pero si no hay errores podemos proseguir

    Primero

    :# make”
    y el herror es este “make: *** No se especificó ningún objetivo y no se encontró ningún makefile. Alto. ”
    espero su respuesta
    pd (tengo 30 dias con debian jejejej)

  2. admin dice:

    Hola flor, este paso has de hacerlo ubicandote en la carpeta.. esto es un paso básico para compilar cualquier programa.

    Digamos te bajas y descomprimes un programa X.

    Lo tienes en el escritorio y has de compilarlo, tienes instaladas todas las herramientas para compilar, y el programa esta escrito en C

    Las herramientas para compilar mas comunes y esenciales son: Buil Esenssial y G++ o Gcc, aunque no recuerdo bien como se llama ahora.. pero en fin..

    El programa X lo tienes en el escritorio como ya digimos.

    Así que en la consola como root te hubicas en la carpeta

    cd /home/tu-usuario/Desktop/programa X

    Y eso es todo, luego haces

    Luego ya ejecutas los comandos para compilar, ./configure, make, make install o los que se te especifiquen en el README del programa o en el tutorial que estes siguiendo.

    Eso es todo, espero te sirva :)

  3. flor dice:

    Hola termine de instalarlo ya realice el comando que me dieron al ultimo (snort -c /etc/snort/snort.conf) y termine pero ahora quiero cambiar, los puertos que quiero que me verife y no puedo encontrar donde espero me contesten luego jejeje. y tambien les hagradesco su explicacion buen aun sigo con snort.

  4. jfibergran dice:

    Hola

    Al poner el configure:

    :# ./configure –enable-sourcefire –enable-targetbased –enable-flexresp –with-mysql

    me dice que no reconoce la opción –enable flexresp. Alguna idea de porqué puede ser?
    Gracias

  5. skamasle dice:

    Hola bergran, puedes intentar instalarlo sin esa opción.

    ./configure –enable-sourcefire –enable-targetbased –with-mysql

    Es mas puedes configurarlo solo con ./configure o bien solo con opciones necesarias como mysql o las que requieras tu, hay un archivo por ahí que te dice para que sirve cada opción, así puedes escoger solo las que necesitas.

    Un saludo

  6. rogelio dice:

    Intentando instalación probare esta versión

  7. yoirea dice:

    me da este error:

    ERROR: Unable to open rules file “/etc/snort//etc/snort/preproc_rules/preprocessor.rules”: No such file or directory.

  8. Saúl dice:

    Disculpa, pero la linea:

    output database: log, mysql, user=root password=test dbname=db host=localhost

    no me aparece, segui todos los pasos y me dio la advertencia que no reconocia –enable flexresp –with-mys

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre lang="" line="" escaped="" cssfile="">