Documente Academic
Documente Profesional
Documente Cultură
AVANZADA
Jorge Daniel Alvarez Garcia
Especializacin en Seguridad Informtica
tekodan@gmail.com
ABSTRACT
I.INTRODUCCIN
En la instalacion de la maquina viritual de ubuntu debemos Ahora que tenemos snort instalado y el sitio Web
ademas instalar un servidor apache y tambien una pagina Habilitado, instalaremos Snorby que es una interfaz visual
web para ello utilizaremos los siguientes comandos para snort Lo primero que tenemos que hacer es instalar los
pre-requisitos necesarios, para ello ejecutamos.
sudo apt-get install apache2
sudo apt-get install libapache2-mod-php
sudo apt-get install php-mysql apt-get update
sudo apt-get install php-simplexml apt-get install libgdbm-dev
sudo apt-get install mysql-server libncurses5-dev
git-core
curl
NOTA: la configuracion de red para las maquinas virtuales zlib1g-dev
en todas debe ser en modo puente build-essential
libssl-dev
libreadline-dev
VI.INSTALACION DE SNORT libyaml-dev
libsqlite3-dev
sqlite3
Para Instalar Snort se debe ejecutar los siguientes comandos libxml2-dev
en Ubuntu 12,04 libxslt1-dev
libcurl4-openssl-dev
sudo apt-get update python-software-properties
sudo apt-get install snort libffi-dev
imagemagick
en la siguiente pantalla nos pedira que indiquemos nuestro apache2
segmento de red libyaml-dev
libxml2-dev
sudo dpkg-configure snort libxslt-dev
git
libssl-dev
libmysqlclient-dev
cd /var/www/snorby cp /var/www/html/snorby/config/database.yml.example
sudo chmod 777 -R *.* /var/www/html/snorby/config/database.yml
bundle install
es necesario que en el ultimo archivo cambiomos la clave
root de mysql con el comando:
nano /var/www/html/snorby/config/database.yml
cp
/var/www/html/snorby/config/snorby_config.yml.exa
mple
/var/www/html/snorby/config/snorby_config.yml
sed -i
Figura 9, Install Bundle s//usr\/local\/bin\/wkhtmltopdf/\/usr\/bin\/wkhtml
topdf/g
/var/www/html/snorby/config/snorby_config.yml
nano /etc/apache2/apache2.conf
/etc/apache2/sites-available/snorby.conf
<virtualhost *:80>
ServerAdmin webmaster@localhost Figura 16, Snorby Frontend
ServerName snorby.sublimerobots.com
y aqu es donde tendramos nuestro snorby pero todavia
DocumentRoot /var/www/html/snorby/public
requrimos instalar el enlace entre snort y snorby y tambien
<directory "/var/www/snorby/public">
las reglas que se van a usar por snort ,observar que en la
AllowOverride all
parte de arriba ya no nos da la alerta de que el servicio
Order deny,allow
snorby no esta activo
Allow from all
Options -MultiViews
</directory>
X.INSTALAR PULLEDPORK
</virtualhost>
script
exec /usr/bin/ruby script/delayed_job start
end script
Figura 17, Cuenta Snort con OinkCode
cd ~/snort_src
wget sudo /usr/local/bin/pulledpork.pl -c
https://github.com/finchy/pulledpork/archive/66241690356d /etc/snort/pulledpork.conf -l
54faa509625a78f80f326b75c339.tar.gz -O pulledpork-
0.7.2-194.tar.gz seguido esto indicamos a snort que utilice las reglas que
tar xvfvz pulledpork-0.7.2-194.tar.gz hemos descargado con los siguientes comandos
mv pulledpork-
66241690356d54faa509625a78f80f326b75c339 pulledpork- sudo nano /etc/snort/snort.conf
0.7.2-194
cambiamos la siguient linea en el archivo en la linea 547
cd pulledpork-0.7.2-194/
sudo cp pulledpork.pl /usr/local/bin include $RULE_PATH/snort.rules
sudo chmod +x /usr/local/bin/pulledpork.pl sudo snort -T -c /etc/snort/snort.conf
sudo cp etc/*.conf /etc/snort
INSTALACION DE SNORT-MYSQL
ahora debemos hacer unos cuantos cambios al
pulledpork.conf, es muy importante que en esta parte con el fin de poder hacer la conexin entre snort y snorby es
tengamos muy presente nuestro <OINKCODE> para hacer importante que snort ponga las alertas en un log especifico
los cambios, los cambios que haremos son en una base de datos , normalmente este proceso de hace
con barnyard2 pero en este caso utilizaremos un metodo
Line 19 & 26: enter your oinkcode where appropriate (or mas sencillo con el siguiente comando
comment out if no oinkcode)
Line 29: Un-comment for Emerging threats ruleset (not tested sudo apt-get install snort-mysql
with this guide)
Line 74: change to: rule_path=/etc/snort/rules/snort.rules inmediatemante instalamos este comando nos va a pedir que
indiquemos una base de datos y una contrasea, pondremos
Line 89: change to: local_rules=/etc/snort/rules/local.rules
las que hemos generado en snorby que sera:
Line 92: change to: sid_msg=/etc/snort/sid-msg.map
Line 96: change to: sid_msg_version=2 nombre de base datos:snorby
Line 119: change to: config_path=/etc/snort/snort.conf
usuario de base de datos: snorby
clave: <password>
Line 133: change to: distro=Ubuntu-12-04
Line 141: change to: una vez tengamos esto hecho reiniciamos el servicio snort y
black_list=/etc/snort/rules/iplists/default.blacklist llamaremos el snort de una forma especifica que citaremos a
Line 150: change to: IPRVersion=/etc/snort/rules/iplists continuacion
Figura 18 , PulledPork Descargando reglas En cali linux se utilizo dos herramientas para atacar al sitio
web que contenia el snort pero que monitorea toda la red,
para finalizar es posible que el archivo al que hacemos inicialmente se utilizo zend map
relacion en la linea 19 no este disponible en la version que
vote nuestra version de pulledpork , para eso deberemos
poner una ruta estatica con el archivo seguido de los digitos
de la ultima version disponible.
ping 192.168.0.122
KALI LINUX, tomado www.kali.org el 31 de Marzo de
2017
Steps to Install and Configure Snort on Kali Linux
tomado de
https://techcyberz.wordpress.com/2014/12/02/steps-to-
install-and-configure-snort-on-kali-linux/ el 12 de Mayo
de 2017