Cómo configurar Snort en Debian

• Actualizar, actualizar y reiniciar
• Configuración previa a la instalación
• Instalación de la Biblioteca de adquisición de datos (DAQ)
• Instalando Snort
• Resoplido de desarraigo

Snort es un sistema de detección de intrusos de red (IDS) gratuito . En términos menos oficiales, le permite monitorear su red para detectar actividades sospechosas en tiempo real . Actualmente, Snort tiene paquetes para Fedora, CentOS, FreeBSD y sistemas basados ​​en Windows. El método exacto de instalación varía entre los sistemas operativos. En este tutorial, instalaremos directamente desde los archivos fuente de Snort. Esta guía fue escrita para Debian.

Actualizar, actualizar y reiniciar

Antes de tener en nuestras manos las fuentes de Snort, debemos asegurarnos de que nuestro sistema esté actualizado. Podemos hacer esto emitiendo los comandos a continuación.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuración previa a la instalación

Una vez que su sistema se haya reiniciado, necesitamos instalar una serie de paquetes para asegurarnos de que podamos instalar SBPP. Pude descubrir que se necesitaban varios paquetes, por lo que el comando base está debajo.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Una vez que se hayan instalado todos los paquetes, deberá crear un directorio temporal para sus archivos de origen; pueden estar en cualquier lugar que desee. Voy a usar /usr/src/snort_src. Para crear esta carpeta, deberá iniciar sesión como rootusuario o tener sudopermisos, rootsolo lo hace más fácil.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Instalación de la Biblioteca de adquisición de datos (DAQ)

Antes de que podamos obtener la fuente de Snort, necesitamos instalar el DAQ. Es bastante simple de instalar.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrae los archivos del tarball.

tar xvfz daq-2.0.6.tar.gz

Cambie al directorio DAQ.

cd daq-2.0.6

Configure e instale el DAQ.

./configure; make; sudo make install

Esa última línea, se ejecutará ./configureprimero. Entonces se ejecutará make. Por último, se ejecutará make install. Usamos la sintaxis más corta aquí solo para ahorrar un poco en la escritura.

Instalando Snort

Queremos asegurarnos de que estamos en el /usr/src/snort_srcdirectorio nuevamente, así que asegúrese de cambiar a ese directorio con:

cd /usr/src/snort_src

Ahora que estamos en el directorio de las fuentes, descargaremos el tar.gzarchivo de la fuente. En el momento de escribir este artículo, la versión más reciente de Snort es 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Los comandos para instalar realmente snort son muy similares a los utilizados para el DAQ, pero tienen diferentes opciones.

Extraiga los archivos fuente de Snort.

tar xvfz snort-2.9.8.0.tar.gz

Cambie al directorio de origen.

cd snort-2.9.8.0

Configurar e instalar las fuentes.

 ./configure --enable-sourcefire; make; sudo make install

Post-instalación de Snort

Una vez que tengamos instalado Snort, debemos asegurarnos de que nuestras bibliotecas compartidas estén actualizadas. Podemos hacer esto usando el comando:

sudo ldconfig

Después de hacer eso, pruebe su instalación de Snort:

snort --version

Si este comando no funciona, deberá crear un enlace simbólico. Puede hacer esto escribiendo:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

El resultado resultante será similar al siguiente:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Resoplido de desarraigo

Ahora que hemos instalado Snort, no queremos que se ejecute como root, así que necesitamos crear un snortusuario y un grupo. Para crear un nuevo usuario y grupo, podemos usar estos dos comandos:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Como hemos instalado el programa usando la fuente, necesitamos crear los archivos de configuración y las reglas para snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Después de crear los directorios y las reglas, ahora necesitamos crear el directorio de registro.

sudo mkdir /var/log/snort

Y, por último, antes de que podamos agregar reglas, necesitamos un lugar para almacenar las reglas dinámicas.

sudo mkdir /usr/local/lib/snort_dynamicrules

Una vez que se hayan creado todos los archivos anteriores, establezca los permisos adecuados en ellos.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Configurar los archivos de configuración

Para ahorrar un montón de tiempo y evitar tener que copiar y pegar todo, simplemente copiemos todos los archivos en el directorio de configuración.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Ahora que los archivos de configuración están allí, puede hacer una de dos cosas:

• Puedes habilitar Barnyard2
• O simplemente puede dejar los archivos de configuración solos y habilitar selectivamente las reglas deseadas.

De cualquier manera, aún querrás cambiar algunas cosas. Sigue leyendo.

Configuración

En el /etc/snort/snort.confarchivo, deberá cambiar la variable HOME_NET. Debe establecerse en el bloqueo de IP de su red interna para que no registre los intentos de su propia red para iniciar sesión en el servidor. Esto puede ser 10.0.0.0/24o 192.168.0.0/16. En la línea 45 de /etc/snort/snort.confcambiar la variable HOME_NETa ese valor del bloqueo de IP de su red.

En mi red, se ve así:

ipvar HOME_NET 192.168.0.0/16

Luego, deberá establecer la EXTERNAL_NETvariable en:

any

Lo que simplemente se convierte EXERNAL_NETen lo que tu HOME_NETno es.

Establecer las reglas

Ahora que una gran mayoría del sistema está configurado, necesitamos configurar nuestras reglas para este pequeño cerdito. En algún lugar alrededor de la línea 104 en el /etc/snort/snort.confarchivo, debería ver una declaración "var" y las variables RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, y BLACK_LIST_PATH. Sus valores deben establecerse en las rutas que usamos Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Una vez que se establecen esos valores, elimine o comente las reglas actuales que comienzan en la línea 548.

Ahora, verifiquemos que su configuración sea correcta. Puedes verificarlo con snort.

 # snort -T -c /etc/snort/snort.conf

Verá una salida similar a la siguiente (truncada por brevedad).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Ahora que todo está configurado sin errores, estamos listos para comenzar a probar Snort.

Prueba Snort

La forma más fácil de probar Snort es habilitar el local.rules. Este es un archivo que contiene sus reglas personalizadas.

Si ha notado en el snort.confarchivo, en algún lugar alrededor de la línea 546, esta línea existe:

include $RULE_PATH/local.rules

Si no lo tiene, agréguelo alrededor de 546. Luego puede usar el local.rulesarchivo para probar. Como prueba básica, solo tengo que Snort haga un seguimiento de una solicitud de ping (solicitud ICMP). Puede hacerlo agregando la siguiente línea a su local.rulesarchivo.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Una vez que tenga eso en su archivo, guárdelo y continúe leyendo.

Ejecute la prueba

El siguiente comando iniciará Snort e imprimirá alertas de "modo rápido", a medida que el usuario resopla, bajo el resoplido grupal, usando la configuración /etc/snort/snort.conf, y escuchará en la interfaz de red eno1. Deberá cambiar eno1a cualquier interfaz de red en la que esté escuchando su sistema.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Una vez que lo tengas funcionando, haz ping a esa computadora. Comenzará a ver una salida similar a la siguiente:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Puede presionar Ctrl + C para salir del programa, y ​​eso es todo. Snort está todo listo. Ahora puede usar las reglas que desee.

Por último, quiero señalar que hay algunas reglas públicas establecidas por la comunidad que puede descargar desde el sitio oficial en la pestaña "Comunidad". Busque "Snort", luego debajo de eso hay un enlace de la comunidad. Descargue eso, extráigalo y busque el community.rulesarchivo.