Configure su propia red privada con OpenVPN
Vultr le ofrece una increíble conectividad de red privada para servidores que se ejecutan en la misma ubicación. Pero a veces quieres dos servidores en diferentes países.
Snort es un sistema de detección de intrusos de red (IDS) gratuito . En términos menos oficiales, le permite monitorear su red para detectar actividades sospechosas en tiempo real . Actualmente, Snort tiene paquetes para Fedora, CentOS, FreeBSD y sistemas basados en Windows. El método exacto de instalación varía entre los sistemas operativos. En este tutorial, instalaremos directamente desde los archivos fuente de Snort. Esta guía fue escrita para Debian.
Antes de tener en nuestras manos las fuentes de Snort, debemos asegurarnos de que nuestro sistema esté actualizado. Podemos hacer esto emitiendo los comandos a continuación.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
Una vez que su sistema se haya reiniciado, necesitamos instalar una serie de paquetes para asegurarnos de que podamos instalar SBPP. Pude descubrir que se necesitaban varios paquetes, por lo que el comando base está debajo.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
Una vez que se hayan instalado todos los paquetes, deberá crear un directorio temporal para sus archivos de origen; pueden estar en cualquier lugar que desee. Voy a usar /usr/src/snort_src
. Para crear esta carpeta, deberá iniciar sesión como root
usuario o tener sudo
permisos, root
solo lo hace más fácil.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Antes de que podamos obtener la fuente de Snort, necesitamos instalar el DAQ. Es bastante simple de instalar.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Extrae los archivos del tarball.
tar xvfz daq-2.0.6.tar.gz
Cambie al directorio DAQ.
cd daq-2.0.6
Configure e instale el DAQ.
./configure; make; sudo make install
Esa última línea, se ejecutará ./configure
primero. Entonces se ejecutará make
. Por último, se ejecutará make install
. Usamos la sintaxis más corta aquí solo para ahorrar un poco en la escritura.
Queremos asegurarnos de que estamos en el /usr/src/snort_src
directorio nuevamente, así que asegúrese de cambiar a ese directorio con:
cd /usr/src/snort_src
Ahora que estamos en el directorio de las fuentes, descargaremos el tar.gz
archivo de la fuente. En el momento de escribir este artículo, la versión más reciente de Snort es 2.9.8.0
.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
Los comandos para instalar realmente snort son muy similares a los utilizados para el DAQ, pero tienen diferentes opciones.
Extraiga los archivos fuente de Snort.
tar xvfz snort-2.9.8.0.tar.gz
Cambie al directorio de origen.
cd snort-2.9.8.0
Configurar e instalar las fuentes.
./configure --enable-sourcefire; make; sudo make install
Una vez que tengamos instalado Snort, debemos asegurarnos de que nuestras bibliotecas compartidas estén actualizadas. Podemos hacer esto usando el comando:
sudo ldconfig
Después de hacer eso, pruebe su instalación de Snort:
snort --version
Si este comando no funciona, deberá crear un enlace simbólico. Puede hacer esto escribiendo:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
El resultado resultante será similar al siguiente:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Ahora que hemos instalado Snort, no queremos que se ejecute como root
, así que necesitamos crear un snort
usuario y un grupo. Para crear un nuevo usuario y grupo, podemos usar estos dos comandos:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Como hemos instalado el programa usando la fuente, necesitamos crear los archivos de configuración y las reglas para snort.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
Después de crear los directorios y las reglas, ahora necesitamos crear el directorio de registro.
sudo mkdir /var/log/snort
Y, por último, antes de que podamos agregar reglas, necesitamos un lugar para almacenar las reglas dinámicas.
sudo mkdir /usr/local/lib/snort_dynamicrules
Una vez que se hayan creado todos los archivos anteriores, establezca los permisos adecuados en ellos.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Para ahorrar un montón de tiempo y evitar tener que copiar y pegar todo, simplemente copiemos todos los archivos en el directorio de configuración.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Ahora que los archivos de configuración están allí, puede hacer una de dos cosas:
De cualquier manera, aún querrás cambiar algunas cosas. Sigue leyendo.
En el /etc/snort/snort.conf
archivo, deberá cambiar la variable HOME_NET
. Debe establecerse en el bloqueo de IP de su red interna para que no registre los intentos de su propia red para iniciar sesión en el servidor. Esto puede ser 10.0.0.0/24
o 192.168.0.0/16
. En la línea 45 de /etc/snort/snort.conf
cambiar la variable HOME_NET
a ese valor del bloqueo de IP de su red.
En mi red, se ve así:
ipvar HOME_NET 192.168.0.0/16
Luego, deberá establecer la EXTERNAL_NET
variable en:
any
Lo que simplemente se convierte EXERNAL_NET
en lo que tu HOME_NET
no es.
Ahora que una gran mayoría del sistema está configurado, necesitamos configurar nuestras reglas para este pequeño cerdito. En algún lugar alrededor de la línea 104 en el /etc/snort/snort.conf
archivo, debería ver una declaración "var" y las variables RULE_PATH
, SO_RULE_PATH
, PREPROC_RULE_PATH
, WHITE_LIST_PATH
, y BLACK_LIST_PATH
. Sus valores deben establecerse en las rutas que usamos Un-rooting Snort
.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Una vez que se establecen esos valores, elimine o comente las reglas actuales que comienzan en la línea 548.
Ahora, verifiquemos que su configuración sea correcta. Puedes verificarlo con snort
.
# snort -T -c /etc/snort/snort.conf
Verá una salida similar a la siguiente (truncada por brevedad).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Ahora que todo está configurado sin errores, estamos listos para comenzar a probar Snort.
La forma más fácil de probar Snort es habilitar el local.rules
. Este es un archivo que contiene sus reglas personalizadas.
Si ha notado en el snort.conf
archivo, en algún lugar alrededor de la línea 546, esta línea existe:
include $RULE_PATH/local.rules
Si no lo tiene, agréguelo alrededor de 546. Luego puede usar el local.rules
archivo para probar. Como prueba básica, solo tengo que Snort haga un seguimiento de una solicitud de ping (solicitud ICMP). Puede hacerlo agregando la siguiente línea a su local.rules
archivo.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Una vez que tenga eso en su archivo, guárdelo y continúe leyendo.
El siguiente comando iniciará Snort e imprimirá alertas de "modo rápido", a medida que el usuario resopla, bajo el resoplido grupal, usando la configuración /etc/snort/snort.conf
, y escuchará en la interfaz de red eno1
. Deberá cambiar eno1
a cualquier interfaz de red en la que esté escuchando su sistema.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
Una vez que lo tengas funcionando, haz ping a esa computadora. Comenzará a ver una salida similar a la siguiente:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
Puede presionar Ctrl + C para salir del programa, y eso es todo. Snort está todo listo. Ahora puede usar las reglas que desee.
Por último, quiero señalar que hay algunas reglas públicas establecidas por la comunidad que puede descargar desde el sitio oficial en la pestaña "Comunidad". Busque "Snort", luego debajo de eso hay un enlace de la comunidad. Descargue eso, extráigalo y busque el community.rules
archivo.
Vultr le ofrece una increíble conectividad de red privada para servidores que se ejecutan en la misma ubicación. Pero a veces quieres dos servidores en diferentes países.
¿Usando un sistema diferente? Couch CMS es un sistema de gestión de contenido (CMS) simple y flexible, gratuito y de código abierto que permite a los diseñadores web diseñar
Usar un usuario sudo para acceder a un servidor y ejecutar comandos a nivel raíz es una práctica muy común entre Linux y Unix Systems Administrator. El uso de un sud
Este artículo le enseñará cómo configurar una cárcel chroot en Debian. Supongo que está utilizando Debian 7.x. Si está ejecutando Debian 6 u 8, esto puede funcionar, pero
Introduction An easy way to set up a VPN server on Debian is with PiVPN. PiVPN is an installer and wrapper for OpenVPN. It creates simple commands for you t
Using a Different System? Introduction Kanboard is a free and open source project management software program which is designed to facilitate and visualiz
Using a Different System? Neos is a Content Application Platform with a CMS and an application framework at its core. This guide will show you how to instal
Introducción Cacti es una herramienta de monitoreo y gráficos de código abierto que se basa completamente en datos RRD. A través de Cacti, puedes monitorear casi cualquier tipo de dispositivo
Java es un lenguaje de programación / máquina virtual independiente de la plataforma. En este tutorial, instalaremos la implementación de OpenJDK de Java 8 en un Debian
Git es un sistema de control de versiones (VCS) que permite el seguimiento de cambios en el código. En este tutorial, veremos cómo instalar un servidor HTTP (S) Git, un
Introducción MySQL tiene una gran característica conocida como vistas. Las vistas son consultas almacenadas. Piense en ellos como un alias para una consulta larga. En esta guía,
Using a Different System? Matomo (formerly Piwik) is an open source analytics platform, an open alternative to Google Analytics. Matomo source is hosted o
Hiawatha es un servidor web que tiene en cuenta la simplicidad, la facilidad de uso y la seguridad. Es la solución perfecta para servidores más pequeños, hardware antiguo o incrustación
Munin es una herramienta de monitoreo para examinar procesos y recursos en su máquina y presenta la información en gráficos a través de una interfaz web. Usa el siguiente
¿Usando un sistema diferente? En esta guía, veremos cómo configurar un servidor FTP (ProFTPd) para transferir archivos entre su PC y su servidor.
Using a Different System? NodeBB is a Node.js based forum. It utilizes web sockets for instant interactions and real-time notifications. NodeBB source code i
¿Usando un sistema diferente? TaskWarrior es una herramienta de gestión de tiempo de código abierto que es una mejora en la aplicación Todo.txt y sus clones. Debido a th
Introduction Debian 10 (Buster), is the successor to Debian 9 (Stretch). It was released on July 6, 2019. In this tutorial, we will be upgrading an existin
Introducción En este tutorial, cubriremos el proceso de agregar un rango / subred de IP completo a un servidor Linux que ejecuta CentOS, Debian o Ubuntu. El proceso
¿Usando un sistema diferente? Plesk es un panel de control de alojamiento web patentado que permite a los usuarios administrar sus sitios web y bases de datos personales y / o de clientes
Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición
ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.
Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+
Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.
Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información
13 Herramientas comerciales de extracción de datos de Big Data
Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.
A medida que la ciencia evoluciona a un ritmo rápido, asumiendo muchos de nuestros esfuerzos, también aumentan los riesgos de someternos a una singularidad inexplicable. Lea, lo que la singularidad podría significar para nosotros.
Una mirada a 26 técnicas analíticas de Big Data: Parte 1
La IA en la salud ha dado grandes pasos desde las últimas décadas. Por tanto, el futuro de la IA en el sector sanitario sigue creciendo día a día.