Cómo configurar Snort en Debian

Snort es un sistema de detección de intrusos de red (IDS) gratuito . En términos menos oficiales, le permite monitorear su red para detectar actividades sospechosas en tiempo real . Actualmente, Snort tiene paquetes para Fedora, CentOS, FreeBSD y sistemas basados ​​en Windows. El método exacto de instalación varía entre los sistemas operativos. En este tutorial, instalaremos directamente desde los archivos fuente de Snort. Esta guía fue escrita para Debian.

Actualizar, actualizar y reiniciar

Antes de tener en nuestras manos las fuentes de Snort, debemos asegurarnos de que nuestro sistema esté actualizado. Podemos hacer esto emitiendo los comandos a continuación.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuración previa a la instalación

Una vez que su sistema se haya reiniciado, necesitamos instalar una serie de paquetes para asegurarnos de que podamos instalar SBPP. Pude descubrir que se necesitaban varios paquetes, por lo que el comando base está debajo.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Una vez que se hayan instalado todos los paquetes, deberá crear un directorio temporal para sus archivos de origen; pueden estar en cualquier lugar que desee. Voy a usar /usr/src/snort_src. Para crear esta carpeta, deberá iniciar sesión como rootusuario o tener sudopermisos, rootsolo lo hace más fácil.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Instalación de la Biblioteca de adquisición de datos (DAQ)

Antes de que podamos obtener la fuente de Snort, necesitamos instalar el DAQ. Es bastante simple de instalar.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrae los archivos del tarball.

tar xvfz daq-2.0.6.tar.gz

Cambie al directorio DAQ.

cd daq-2.0.6

Configure e instale el DAQ.

./configure; make; sudo make install

Esa última línea, se ejecutará ./configureprimero. Entonces se ejecutará make. Por último, se ejecutará make install. Usamos la sintaxis más corta aquí solo para ahorrar un poco en la escritura.

Instalando Snort

Queremos asegurarnos de que estamos en el /usr/src/snort_srcdirectorio nuevamente, así que asegúrese de cambiar a ese directorio con:

cd /usr/src/snort_src

Ahora que estamos en el directorio de las fuentes, descargaremos el tar.gzarchivo de la fuente. En el momento de escribir este artículo, la versión más reciente de Snort es 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Los comandos para instalar realmente snort son muy similares a los utilizados para el DAQ, pero tienen diferentes opciones.

Extraiga los archivos fuente de Snort.

tar xvfz snort-2.9.8.0.tar.gz

Cambie al directorio de origen.

cd snort-2.9.8.0

Configurar e instalar las fuentes.

 ./configure --enable-sourcefire; make; sudo make install

Post-instalación de Snort

Una vez que tengamos instalado Snort, debemos asegurarnos de que nuestras bibliotecas compartidas estén actualizadas. Podemos hacer esto usando el comando:

sudo ldconfig

Después de hacer eso, pruebe su instalación de Snort:

snort --version

Si este comando no funciona, deberá crear un enlace simbólico. Puede hacer esto escribiendo:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

El resultado resultante será similar al siguiente:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Resoplido de desarraigo

Ahora que hemos instalado Snort, no queremos que se ejecute como root, así que necesitamos crear un snortusuario y un grupo. Para crear un nuevo usuario y grupo, podemos usar estos dos comandos:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Como hemos instalado el programa usando la fuente, necesitamos crear los archivos de configuración y las reglas para snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Después de crear los directorios y las reglas, ahora necesitamos crear el directorio de registro.

sudo mkdir /var/log/snort

Y, por último, antes de que podamos agregar reglas, necesitamos un lugar para almacenar las reglas dinámicas.

sudo mkdir /usr/local/lib/snort_dynamicrules

Una vez que se hayan creado todos los archivos anteriores, establezca los permisos adecuados en ellos.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Configurar los archivos de configuración

Para ahorrar un montón de tiempo y evitar tener que copiar y pegar todo, simplemente copiemos todos los archivos en el directorio de configuración.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Ahora que los archivos de configuración están allí, puede hacer una de dos cosas:

  • Puedes habilitar Barnyard2
  • O simplemente puede dejar los archivos de configuración solos y habilitar selectivamente las reglas deseadas.

De cualquier manera, aún querrás cambiar algunas cosas. Sigue leyendo.

Configuración

En el /etc/snort/snort.confarchivo, deberá cambiar la variable HOME_NET. Debe establecerse en el bloqueo de IP de su red interna para que no registre los intentos de su propia red para iniciar sesión en el servidor. Esto puede ser 10.0.0.0/24o 192.168.0.0/16. En la línea 45 de /etc/snort/snort.confcambiar la variable HOME_NETa ese valor del bloqueo de IP de su red.

En mi red, se ve así:

ipvar HOME_NET 192.168.0.0/16

Luego, deberá establecer la EXTERNAL_NETvariable en:

any

Lo que simplemente se convierte EXERNAL_NETen lo que tu HOME_NETno es.

Establecer las reglas

Ahora que una gran mayoría del sistema está configurado, necesitamos configurar nuestras reglas para este pequeño cerdito. En algún lugar alrededor de la línea 104 en el /etc/snort/snort.confarchivo, debería ver una declaración "var" y las variables RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, y BLACK_LIST_PATH. Sus valores deben establecerse en las rutas que usamos Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Una vez que se establecen esos valores, elimine o comente las reglas actuales que comienzan en la línea 548.

Ahora, verifiquemos que su configuración sea correcta. Puedes verificarlo con snort.

 # snort -T -c /etc/snort/snort.conf

Verá una salida similar a la siguiente (truncada por brevedad).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Ahora que todo está configurado sin errores, estamos listos para comenzar a probar Snort.

Prueba Snort

La forma más fácil de probar Snort es habilitar el local.rules. Este es un archivo que contiene sus reglas personalizadas.

Si ha notado en el snort.confarchivo, en algún lugar alrededor de la línea 546, esta línea existe:

include $RULE_PATH/local.rules

Si no lo tiene, agréguelo alrededor de 546. Luego puede usar el local.rulesarchivo para probar. Como prueba básica, solo tengo que Snort haga un seguimiento de una solicitud de ping (solicitud ICMP). Puede hacerlo agregando la siguiente línea a su local.rulesarchivo.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Una vez que tenga eso en su archivo, guárdelo y continúe leyendo.

Ejecute la prueba

El siguiente comando iniciará Snort e imprimirá alertas de "modo rápido", a medida que el usuario resopla, bajo el resoplido grupal, usando la configuración /etc/snort/snort.conf, y escuchará en la interfaz de red eno1. Deberá cambiar eno1a cualquier interfaz de red en la que esté escuchando su sistema.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Una vez que lo tengas funcionando, haz ping a esa computadora. Comenzará a ver una salida similar a la siguiente:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Puede presionar Ctrl + C para salir del programa, y ​​eso es todo. Snort está todo listo. Ahora puede usar las reglas que desee.

Por último, quiero señalar que hay algunas reglas públicas establecidas por la comunidad que puede descargar desde el sitio oficial en la pestaña "Comunidad". Busque "Snort", luego debajo de eso hay un enlace de la comunidad. Descargue eso, extráigalo y busque el community.rulesarchivo.



Leave a Comment

Configure su propia red privada con OpenVPN

Configure su propia red privada con OpenVPN

Vultr le ofrece una increíble conectividad de red privada para servidores que se ejecutan en la misma ubicación. Pero a veces quieres dos servidores en diferentes países.

Cómo instalar Couch CMS 2.0 en un VPS LAMP Debian 9

Cómo instalar Couch CMS 2.0 en un VPS LAMP Debian 9

¿Usando un sistema diferente? Couch CMS es un sistema de gestión de contenido (CMS) simple y flexible, gratuito y de código abierto que permite a los diseñadores web diseñar

Cómo usar Sudo en Debian, CentOS y FreeBSD

Cómo usar Sudo en Debian, CentOS y FreeBSD

Usar un usuario sudo para acceder a un servidor y ejecutar comandos a nivel raíz es una práctica muy común entre Linux y Unix Systems Administrator. El uso de un sud

Configurar un Chroot en Debian

Configurar un Chroot en Debian

Este artículo le enseñará cómo configurar una cárcel chroot en Debian. Supongo que está utilizando Debian 7.x. Si está ejecutando Debian 6 u 8, esto puede funcionar, pero

How to Install PiVPN on Debian

How to Install PiVPN on Debian

Introduction An easy way to set up a VPN server on Debian is with PiVPN. PiVPN is an installer and wrapper for OpenVPN. It creates simple commands for you t

How to Install Kanboard on Debian 9

How to Install Kanboard on Debian 9

Using a Different System? Introduction Kanboard is a free and open source project management software program which is designed to facilitate and visualiz

How to Install Neos CMS on Debian 9

How to Install Neos CMS on Debian 9

Using a Different System? Neos is a Content Application Platform with a CMS and an application framework at its core. This guide will show you how to instal

Configurar Cactus en Debian Jessie

Configurar Cactus en Debian Jessie

Introducción Cacti es una herramienta de monitoreo y gráficos de código abierto que se basa completamente en datos RRD. A través de Cacti, puedes monitorear casi cualquier tipo de dispositivo

Cómo instalar Java 8 y DCEVM en Debian 8 (Jessie)

Cómo instalar Java 8 y DCEVM en Debian 8 (Jessie)

Java es un lenguaje de programación / máquina virtual independiente de la plataforma. En este tutorial, instalaremos la implementación de OpenJDK de Java 8 en un Debian

Servidor HTTP Git con Nginx en Debian 8

Servidor HTTP Git con Nginx en Debian 8

Git es un sistema de control de versiones (VCS) que permite el seguimiento de cambios en el código. En este tutorial, veremos cómo instalar un servidor HTTP (S) Git, un

Uso de vistas MySQL en Debian 7

Uso de vistas MySQL en Debian 7

Introducción MySQL tiene una gran característica conocida como vistas. Las vistas son consultas almacenadas. Piense en ellos como un alias para una consulta larga. En esta guía,

How to Install Matomo Analytics on Debian 9

How to Install Matomo Analytics on Debian 9

Using a Different System? Matomo (formerly Piwik) is an open source analytics platform, an open alternative to Google Analytics. Matomo source is hosted o

Instale el servidor web Hiawatha con PHP-FPM y MySQL en Debian

Instale el servidor web Hiawatha con PHP-FPM y MySQL en Debian

Hiawatha es un servidor web que tiene en cuenta la simplicidad, la facilidad de uso y la seguridad. Es la solución perfecta para servidores más pequeños, hardware antiguo o incrustación

Monitoree el estado del servidor Debian con Munin

Monitoree el estado del servidor Debian con Munin

Munin es una herramienta de monitoreo para examinar procesos y recursos en su máquina y presenta la información en gráficos a través de una interfaz web. Usa el siguiente

Instale un servidor FTP con ProFTPd en Debian o Ubuntu

Instale un servidor FTP con ProFTPd en Debian o Ubuntu

¿Usando un sistema diferente? En esta guía, veremos cómo configurar un servidor FTP (ProFTPd) para transferir archivos entre su PC y su servidor.

How to Install NodeBB forum on Debian 9

How to Install NodeBB forum on Debian 9

Using a Different System? NodeBB is a Node.js based forum. It utilizes web sockets for instant interactions and real-time notifications. NodeBB source code i

Instalar TaskServer (taskd) en Debian 9

Instalar TaskServer (taskd) en Debian 9

¿Usando un sistema diferente? TaskWarrior es una herramienta de gestión de tiempo de código abierto que es una mejora en la aplicación Todo.txt y sus clones. Debido a th

Upgrading Debian 9 to Debian 10

Upgrading Debian 9 to Debian 10

Introduction Debian 10 (Buster), is the successor to Debian 9 (Stretch). It was released on July 6, 2019. In this tutorial, we will be upgrading an existin

Agregue rango de direcciones IP a su servidor (CentOS / Ubuntu / Debian)

Agregue rango de direcciones IP a su servidor (CentOS / Ubuntu / Debian)

Introducción En este tutorial, cubriremos el proceso de agregar un rango / subred de IP completo a un servidor Linux que ejecuta CentOS, Debian o Ubuntu. El proceso

Instalar Plesk en Debian 8 (Jessie)

Instalar Plesk en Debian 8 (Jessie)

¿Usando un sistema diferente? Plesk es un panel de control de alojamiento web patentado que permite a los usuarios administrar sus sitios web y bases de datos personales y / o de clientes

¿Puede la IA luchar con un número cada vez mayor de ataques de ransomware?

¿Puede la IA luchar con un número cada vez mayor de ataques de ransomware?

Los ataques de ransomware van en aumento, pero ¿puede la IA ayudar a lidiar con el último virus informático? ¿Es la IA la respuesta? Lea aquí, sepa que la IA es una bendición o una perdición

ReactOS: ¿Es este el futuro de Windows?

ReactOS: ¿Es este el futuro de Windows?

ReactOS, un sistema operativo de código abierto y gratuito, está aquí con la última versión. ¿Puede satisfacer las necesidades de los usuarios de Windows de hoy en día y acabar con Microsoft? Averigüemos más sobre este estilo antiguo, pero una experiencia de sistema operativo más nueva.

Manténgase conectado a través de la aplicación de escritorio WhatsApp 24 * 7

Manténgase conectado a través de la aplicación de escritorio WhatsApp 24 * 7

Whatsapp finalmente lanzó la aplicación de escritorio para usuarios de Mac y Windows. Ahora puede acceder a Whatsapp desde Windows o Mac fácilmente. Disponible para Windows 8+ y Mac OS 10.9+

¿Cómo puede la IA llevar la automatización de procesos al siguiente nivel?

¿Cómo puede la IA llevar la automatización de procesos al siguiente nivel?

Lea esto para saber cómo la Inteligencia Artificial se está volviendo popular entre las empresas de pequeña escala y cómo está aumentando las probabilidades de hacerlas crecer y dar ventaja a sus competidores.

La actualización complementaria de macOS Catalina 10.15.4 está causando más problemas que resolver

La actualización complementaria de macOS Catalina 10.15.4 está causando más problemas que resolver

Recientemente, Apple lanzó macOS Catalina 10.15.4, una actualización complementaria para solucionar problemas, pero parece que la actualización está causando más problemas que conducen al bloqueo de las máquinas Mac. Lee este artículo para obtener más información

13 Herramientas comerciales de extracción de datos de Big Data

13 Herramientas comerciales de extracción de datos de Big Data

13 Herramientas comerciales de extracción de datos de Big Data

¿Qué es un sistema de archivos de diario y cómo funciona?

¿Qué es un sistema de archivos de diario y cómo funciona?

Nuestra computadora almacena todos los datos de una manera organizada conocida como sistema de archivos de diario. Es un método eficiente que permite a la computadora buscar y mostrar archivos tan pronto como presiona buscar.

Singularidad tecnológica: ¿un futuro lejano de la civilización humana?

Singularidad tecnológica: ¿un futuro lejano de la civilización humana?

A medida que la ciencia evoluciona a un ritmo rápido, asumiendo muchos de nuestros esfuerzos, también aumentan los riesgos de someternos a una singularidad inexplicable. Lea, lo que la singularidad podría significar para nosotros.

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

Una mirada a 26 técnicas analíticas de Big Data: Parte 1

El impacto de la inteligencia artificial en la atención médica 2021

El impacto de la inteligencia artificial en la atención médica 2021

La IA en la salud ha dado grandes pasos desde las últimas décadas. Por tanto, el futuro de la IA en el sector sanitario sigue creciendo día a día.