REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DE EDUCACION CULTURA Y DEPORTE UNIVERSIDAD POLITCNICA TERRITORIAL DE ARAGUA "DR.

FEDERICO BRITO FIGUEROA" DEPARTAMENTO DE POSTGRADO - TELEMATICA MATERIA: PRACTICAS INTEGRALES DE REDES

Facilitadora: Profa.: Yasunari Ramrez

Integrantes: Clemente Juan C.I:15.991.773 Rodrguez Javier C.I:16.803.141 Romero Abel C.I:16.810.698 La Victoria, Edo. Aragua.

Snort

Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un verdadero IDS puesto que no analiza ni seala paquetes por anomalas. tcpdump imprime toda la informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn tipo de anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente maliciosas y las almacenas en un registro formateado, as, Snort utiliza la biblioteca estndar libcap y tcpdump como registro de paquetes en el fondo. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque. La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red ms populares, actualizados y robustos. Resulta imprescindible tomar ms medidas complementarias al amparo de esta alarma que salta. Un cortafuego aadido aporta en conjunto una seguridad bastante aceptable. Siguiendo la analoga de la casa, el cortafuegos sera la valla protectora o el vigilante de seguridad que controla en la puerta quin entra, hacia dnde se dirige y de dnde viene. Los IDS por tanto no garantizan la seguridad, pero, dentro de una buena poltica que incluya autenticacin de usuarios, control de acceso, cortafuegos, encriptacin de datos y evaluacin de vulnerabilidades, se puede aumentar enormemente las posibilidades de que tus datos y tu sistema, slo te sigan perteneciendo a ti. Los sistemas de deteccin de intrusos proporcionan tres funciones esenciales de seguridad:

Monitorizan:

Esto es, el IDS mantiene siempre un ojo en la red, observando y escudriando el trfico en busca de cualquier paquete susceptible de contener cdigo no deseado. Qu visita quin y cundo lo hace en nuestra red, quin viene desde el exterior y qu busca... etc. En este sentido acta exactamente igual que un sniffer. De hecho, cabe la posibilidad de utilizarlos como tal.
Detectan:

Usan polticas (totalmente configurables) para definir los actos sospechosos de todo ese trfico que provocarn una alarma si ocurren. Los patrones se pueden actualizar cada cierto tiempo si se descubren nuevos tipos de ataques.
Responden:

Esta alarma puede venir en forma de archivos en el sistema, pginas html dinmicas con grficos o incluso correos con la informacin necesaria. Tambin podra incluir la expulsin de un usuario del sistema... etc. A la hora de realizar labores de forense (tras un ataque, determinar el alcance, evaluar los daos, e Intentar cazar al autor) resulta de gran ayuda. Un elaborado registro de las incidencias ocurridas en la red, con el contenido de los paquetes de cada "visita" resulta imprescindible para realizar una buena labor de investigacin, Pero para ello, no se pueden alojar los logs dentro de la propia mquina. Todos sabemos lo sencillo que resulta borrarlos si un atacante llega a tener el control de servidor. Lo mejor es instalar una base de datos en un sistema remoto que almacene los registros ordenadamente, y de esta forma, tambin puedan ser consultados de manera sencilla. Veamos a continuacin un sencillo procedimiento para instalar SNORT en Ubuntu: Lo primero que hay que hacer es abrir una terminal presionando el botn de Aplicaciones del panel superior del sistema operativo, luego seleccionar Accesorios y posteriormente Terminal. Para descargar la versin ms conveniente de Snort para las versiones del software que se tienen instaladas en el equipo, as como todas las dependencias necesarias para que Snort funcione correctamente, se debe ejecutar con privilegios de administrador la instruccin que se debe ejecutar en la siguiente: apt-get install snort. (Ver Figura 1).

Figura 1. Instalacin de SNORT. Inmediatamente se le solicitar la contrasea del administrador para luego analizar qu paquetes se necesitan descargar e instalar. Cuando se le pregunte si desea descargar e instalar los paquetes, Elija la opcin s.
Instalacin de SNORT (Dependencias). En seguida iniciar la instalacin. Espere hasta que se le pregunte la interfaz de red por la que Snort va a escuchar, elija por ejemplo la interfaz (eth0) y presione Enter. Posteriormente, se le solicitar la red y el intervalo de la misma para la cual Snort va a funcionar, especificando la direccin IP de la red y la mscara de subred utilizando la diagonal.

Figura 2. Definicin de la red y el intervalo de la misma para la cual Snort va a funcionar.

Una vez introducidos esos datos, slo queda esperar para que la instalacin de Snort se complete. Se puede modificar la configuracin con la que Snort se instala de forma predeterminada y as poder controlar el momento en el que el IDS debe iniciarse, qu redes monitorear, qu tipos de informes se pueden entregar, a qu email enviar los resmenes, etc. Para entrar a este modo avanzado de configuracin, teclear en la terminal sudo dpkg-reconfigure snort. (Ver figura 3). A dicha interfaz se le configur un intervalo de direcciones IP, sobre las cuales trabajara Snort. En este caso se utiliz la IP 192.168.0.0/24.

Posteriormente, contina la instalacin automtica de Snort.

Seguidamente, se utilizaron los comandos dpkg-reconfigure snort para la configuracin avanzada de Snort.

Figura 3. Entrar al modo avanzado de configuracin en SNORT.

Figura 4. Se selecciona el arraque del Snort.

Figura 5. Configurar correo electrnico para generar resmenes en SNORT.

Figura 6. Se configura un nmero mnimo de ocurrencias antes de que se incluya una alerta en los informes. El nmero de ocurrencias que se coloco fue 1. A continuacin, se utiliz los comando snort v i eth0, el cual sirve para desplegar los resultados de Snort y la interfaz de red por donde se escucha.

Para crear unas reglas de prueba en el archivo general de Snort, se procedi a teclear los comandos gedit /etc/snort/rules/alarmas.rules Ya estando en el editor de texto se agregaron dos reglas, como se muestra en la siguiente imagen.

Seguidamente, se tuvo que agregar una referencia al archivo snort.conf del archivo que se cre en el paso anterior utilizando el comando gedit /etc/snort/snort.conf. En lo que se abre el editor de texto se tuvo que agregar la lnea include $RULE_PATH/alarmas.rules.

Finalmente, para probar las reglas que se crearon se teclea A console c /etc/rules/alarmas.rules i eth0. Las cuales adicionalmente se van abriendo las pginas en las que se les crearon las reglas, desde alguna de las estaciones de trabajo que estn dentro del rango de direcciones IP establecidas en la configuracin de Snort.

A continuacin se muestran los resultados de las pruebas realizadas.