Instalacion De Snort

CAPÍTULO 4

Instalación y configuración de Snort

1 Introducción

En primer lugar antes de proceder a la instalación y configuración de Snort, se van a

describir las distintas posibilidades para la ubicación del IDS en la red. La colocación de Snort

en la red se debe de realizar en función del tráfico que se quiere vigilar: paquetes entrantes,

salientes, dentro del firewall, fuera del firewall...

Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlación

en la red. Así la interoperabilidad permite que un sistema IDS pueda compartir u obtener

información de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar

las características de la red de acuerdo a los eventos que se generan. Se puede colocar el IDS de

las siguientes formas:

• Delante del firewall: De esta forma el IDS puede comprobar todos los ataques

producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de

información en los logs, que puede resultar contraproducente

• Detrás del firewall: Snort colocado detrás del firewall suele ser la ubicación

característica, puesto que permite analizar, todo el trafico que entra en la red (y que

sobrepasa el firewall). Además, permite vigilar el correcto funcionamiento del firewall.

Monitoriza únicamente el tráfico que haya entrado realmente en la red y que no ha sido

bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la

producida en el caso anterior.

• Combinación de los dos casos: Combinando la colocación del IDS delante y detrás del

firewall el control que se ejerce es mayor. Se puede efectuar una correlación entre

ataques detectados en un lado y otro. El inconveniente es que se necesitan dos máquinas

para implementarlo.

• Firewall/NIDS: Otra opción es usar una única máquina que haga las funciones de

firewall y de NIDS a la vez.

• Combinaciones avanzadas: Se utilizan para cubrir necesidades de seguridad más

altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts

individuales.

Una vez que se ha seleccionado la ubicación del IDS en nuestra red se procede a su

instalación y configuración. Seguidamente se describe el proceso seguido para ello.

56 Diseño y optimización de un sistema de detección de intrusos híbrido

2 Deshabilitar firewall y selinux

En primer lugar se definen los términos firewall y selinux.

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra

intrusiones provenientes de redes de terceros (generalmente desde Internet). Un sistema de

firewall filtra paquetes de datos que se intercambian a través de Internet. Por lo tanto, se trata de

una pasarela de filtrado que comprende al menos las siguientes interfaces de red:

• Una interfaz para la red protegida (red interna)

• Una interfaz para la red externa.

Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el

kernel 2.6.x usando los módulos de seguridad linux. SELinux define el acceso y los derechos de

transición de cada usuario, aplicación, proceso y archivo en el sistema. Gobierna la interacción

de estos sujetos y objetos usando una política de seguridad que especifica cuán estricta o

indulgente una instalación de Red Hat Enterprise Linux dada debería de ser.

El componente SELINUX puede deshabilitarse durante el proceso de instalación o bien,

si ya se tiene instalado en el sistema, se deberá modificar el fichero /etc/selinux/config

realizando las siguientes modificaciones:

SELINUX=disabled

SELINUXTYPE=targeted

Con objeto de no tener problemas en el proceso de instalación del sistema, se va a

deshabilitar el cortafuegos iptables ejecutando:

iptables –F

Posteriormente se guarda la configuración con:

iptables-save >/etc/sysconfig/iptables

3 Instalación automática

Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas:

intalándolo y compilándolo manualmente o descargando los paquetes ya compilados.

Si se desea instalar Snort y Mysql directamente desde las fuentes, bastará con ejecutar el

comando:

yum install snort

O yum install snort-mysql si se quiere descargar snort para que almacene las alertas en

mysql. Así se descargarán ya los paquetes compilados de snort y mysql y las dependencias

necesarias (libpcap, pcre,..).

La forma más sencilla es instalarlo directamente a través de un gestor de paquetes

(como yum) pero es importante instalarlo de forma manual porque de esa forma se puede

personalizar y adaptar Snort a nuestras necesidades. A continuación se describe el

procedimiento para la instalación manual de Snort.

Capítulo 4. Instalación y configuración de Snort 57

4 Instalación y compilación manual

Hay que tener en cuenta que si se pretende realizar la instalación de forma manual, se

debe de instalar en primer lugar mysql, para indicarle a Snort que almacene sus alertas en dicha

base de datos.

Antes de realizar la instalación de Snort se deben de instalar las dependencias: gcc-c++.

Para instalar el compilador de forma automática se debe ejecutar el siguiente comando:

yum install gcc-c++

Flex

Flex (www.gnu.org/software/flex) es un rápido generador analizador léxico. Es una

herramienta para generar programas que realizan concordancia de patrones en el texto. Flex es

un servicio gratuito (pero no-GNU) de la implementación del programa lex de Unix.

Se puede descargar y compilar flex de la página oficial o ejecutando el comando:

yum install flex

Bison

Bison (www.gnu.org/software/bison) es un generador analizador de propósito general

que convierte una gramática de libre contexto en un LALR o un analizador GLR para esta

gramática.

Se puede descargar y compilar flex de la página oficial o ejecutando el comando:

yum install boison

Libpcap

Libcap es una librería de programación de paquetes de TCP/IP requerida en la mayoría

de programas que analizan y monitorizan el tráfico en una red. Para instalar libpcap hay que

realizar los siguientes pasos:

En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz de Internet:

www.tcpdump.org

• Se descomprime el paquete ejecutando:

tar xvfz libpcap-0.9.8.tar.gz

• Se compila y se instala ejecutando

...