Práctica 6.2 – IDS

Práctica 6.2 – IDS-Snort
Snort es un IDS o Sistema de deteccioón de instrusiones basado en red (NIDS). Implementa un
motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder
ante cualquier anomalía previamente definida como patrones que corresponden a ataques,
barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos.
Todo esto en tiempo real.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y
GNU/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones
predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o
vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real que ocurre en nuestra
red, todo nuestro tráfico), registro de paquetes ( permite guardar en un archivo los logs para
su posterior análisis, un análisis offline o como un IDS normal (en este caso NIDS)
1. En primer lugar instalaremos la aplicación bajo GNU/Linux mediante: sudo apt-get
install snort
Nos aparecerá esto y damos a aceptar.
2. Snort en modo Sniffer y regristro de paquetes: snort –dev –h 192.168.1.0/24 > log.txt
En este modo (dev) visualizaremos las cabeceras IP, TCP, uDP y ICMP, visualizará los
campos de datos que pasan por la interfaz de red (d), y las cabeceras a nivel de enlace
(e). -h para almacenar registros de tráfico de la red o host que se le indique. Si usamos
192.168.1.0/24 estamos diciendo que analice todos los datos de mi red.
Se me queda pillado en este punto, así que explicaré los pasos a seguir en el caso de que este
punto funcionase.
Al rato largo creó este fichero:
3. Filtros: Para monitorizar tan sólo el tráfico deseado de un determinado puerto, se
puede indicar por ejemplo: snort -vd host ipdelhost and dst port numerodepuerto.
Pondriamos entonces por ejemplo: sudo snort –vd host 192.168.1.5 and dst port 8080
Sólo se mostrará el tráfico del host 192.168.1.5 con puerto de destino 8080.
4. IDS: El modo detección de intrusos de red se activa añadiendo a la línea de comandos
de snort la opción -c snort.conf. En este archivo, snort.conf, se guarda toda la
configuración de las reglas, preprocesadores y otras configuraciones necesarias para el
funcionamiento en modo NIDS. Por tanto podemos ejecutar:
snort -dev -h 192.168.1.0/24 -c snort.conf
5. Modos de alerta: Hay varias maneras de configurar la salida de las alertas, el modo en
que se almacenarán estas en el archivo alertáis. Snort dispone de siete modos de
alertas en la línea de órdenes: completo, rápido, socket, syslog, smb (WinPopup),
consola y ninguno.
Como ejemplo, en modo de alerta completa (-A Full) nos devolverá información sobre:
tiempo, mensaje de la alerta, clasificación, prioridad de la alerta, IP y puerto de origen/
destino e información completa de las cabeceras de los paquetes registrados.
snort -A full -dev -h 192.168.1.0/24 -c snort.conf