jueves, 8 de mayo de 2008

Tutorial snort

Hola a todos hoy nos ocuparemos de "Snort" es un sniffer de paquetes y un detector de intrusos basado en la red. Podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuando, de donde y cómo se produjo el ataque.

Pues empezaremos instalando el snort, para ello debemos ir a Sistema>Administración>Gestor de paquetes sinaptyc, buscamos e instalamos los siguientes paquetes:
  • Libpcap0.8-dev
  • libmysqlclient15-dev
  • mysql-client-5.0
  • mysql-server-5.0
  • bison
  • flex
  • apache2
  • libapache2-mod-php5
  • php5-gd
  • php5-mysql
  • libphp-adodb
  • php-pear


En el proceso de instalación deberemos de configurar el snort basico, simplemente, le dais a Adelante.





Una vez terminada la instalación nos dirigimos al terminal y empezaremos el proceso de configuración.
Primero nos logemos como superusuario:
sudo -i
Luego tu password
Deberemos de añadir un nuevo paquete.
apt-get install libc6-dev g++ gcc
Debemos de crear un nuevo directorio para descargarnos los archivos
cd /root mkdir snorttmp cd /root/snorttmp

Get PCRE


Una vez que tenemos esto debemos de bajarnos unas cuantas cosas mas. Introducimos en el terminal:
wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre-7.7.tar.gz




Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/pcre-7.7.tar.gz
rm /root/snorttmp/pcre-7.7.tar.gz



Get BASE

Introducimos en el terminal:
wget http://sourceforge.net/project/downloading.php?group_id=103348&use_mirror=garr&filename=base-1.4.0.tar.gz&88479566



Descomprimimos y borramos el archivo .tar.gz. Para ello:
tar -xzvf /root/snorttmp/base-1.3.8.tar.gz
rm /root/snorttmp/base-1.3.8.tar.gz


Get ADOdbe

Ahora lo haremos de otra forma, abrimos firefox y entramos en esta pág http://sourceforge.net/project/showfiles.php?group_id=42718
nos bajamos la ultima actualizacion de adodb.
Descomprimimos y borramos el archivo .tar. Para ello:
tar -xzvf /root/snorttmp/adodb504a.tgz
rm /root/snorttmp/adodb504a.tgz



Instalación

PCRE.

cd /root/snorttmp/pcre-7.4

./configure
make
make install

Copying files

Necesitamos crear una carpeta dentro de /etc para el correcto funcionamiento de snort y copiar algunos archivos alli.Para ello:
mkdir /etc/snort /etc/snort/rules /var/log/snort
Copiamos algunos archivos.
cp /usr/local/lib/libpcre.so.0 /usr/lib

Configurando Snort

Necesitamos modifcar snort.conf file para tu propia necesidad.
vim /etc/snort/snort.conf
Cambia "var HOME_NET any" a "var HOME_NET 192.168.1.0/24"
Cambia "var EXTERNAL_NET any" a "var EXTERNAL_NET !$HOME_NET"
Cambia "var RULE_PATE ../rules" a "var RULE_PATH /etc/snort/rules"














Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)