Cum Libre Snort Vid
Sheena Alsobrook
Snort es un sistema de deteccin de intrusos en red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitcoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un motor de deteccin de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida.
Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque.
Snort tiene una base de datos de ataques que se actualiza constantemente a travs de internet. Los usuarios pueden crear firmas basadas en las caractersticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta tica de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red ms populares, actualizados y robustos.
Los administradores de sistema tomamos muy en cuenta a seguridad de sus equipos y sobre todo de su red, mucho mas si dentro de ella existe informacin muy relevante, para eso hay que basarnos en un sistema que pueda ofrecernos este tipo de proteccin, en ste caso tenemos a Snort, adems de ser un software libre, nos puede ofrecer una seguridad garantizada claro esta configurandolo correctamente, par esto se deben seguir ciertos pasos.
En la bitcora personal de Jos Ramn Vilas, nos ensea como hacer la configuracin bsica de Snort.. proceso a continuacin...
Snort es una herramienta muy conocida por el administrador de sistemas y utilizada por defecto en la prctica totalidad de distribuciones Linux orientadas a trabajar como encaminadores (SmoothWall, IpCop, Untangle...)
Los usos y posibilidades de esta herramienta son realmente variados aunque lo ms comn es utilizarlo como "packet logger" o sniffer, con volcado a texto plano o bbdd MySQL/PostgreSQL.
Algunos de sus usos bsicos son:
Para habilitar estas reglas se copiarn (descomprimidas) al directorio de configuracin de snort (/etc/snort/rules/) y editaremos el archivo de configuracin del programa asegurndonos de que son visibles:
Jos Salvador Gonzlez Riveraes miembro activo del Grupo de Usuarios Linux de Puebla en Mxico, constantementeparticipa en eventos para promover el uso de Software Libre y principalmente Linux,este semestre egres de la Licenciatura en Sistemas Computacionales, puedes contactarloen jsgr(at)linuxpuebla.org y tambin en jsgr(at)tec.com.mx
Resumen:Ahora que toda la informacin se almacena de manera digital en medios electrnicoses mucho ms gil acceder a ella por medio de redes de computadoras que nos permitenel paso de datos a distancia, datos de ndole financiera, gubernamental, militar,industrial y comercial que lamentablemente son objetivo fcil para las personasmalintencionadas que no cuenten con la tica suficiente para obtenerla o destruirla.
Debido a la falta de conciencia no existen recursos abundantes sobre este tema endiversos idiomas, en este pequeo artculo har una revisin "bsica" sobre las tcnicasy herramientas que podemos utilizar para detectar a los intrusos en Linux. Procurar no repetirinformacin con otras palabras de manuales de usuarios por lo que me centro en puntosespecficos que se presentan.
Al seleccionar un sistema operativo Linux debemos considerar al gran nmero de distribucionesque existen, la mayora se basan principalmente en RedHat, por ejemplo Conectiva (Brasil),Hispa fuentes(Espaa), Mandrake(Francia), SuSE (Alemania), Caldera y muchas otras que utilizanel manejador de paquetes RPM. Otra distribucin es Slackware, el cual busca un Unixmuy tradicional al seguir utilizando nicamente archivos de instalacin .tgz"Casi" todas son desarrolladas por empresas comerciales, pero Debian no es el caso.Debian tiene un manejador de paquetes (DPKG) que nos facilita la actualizacin de programas albuscar automticamente las actualizaciones desde Internet y cumpliendo dependencias de archivos ylibreras que un paquete requiera facilitando la administracin del sistema y permitiendo siempreestar al da automticamente con las nuevas actualizaciones de seguridad.
Debian tambin presenta algunas caractersticas sustanciales importantes:
1) Carece de fines comerciales y no obedece a urgencias mercantiles.
2) Tiene un buen seguimiento de errores, problemas son arreglados en menos de 48 horas.
3) Desde el principio su principal prioridad es desarrollar un sistema operativo completo y confiable.
4) Es desarrollado por voluntarios en todo el mundo.
Cada nueva versin soporta nuevas arquitecturas de hardware, actualmente estan soportadas:Alpha, ARM, HP PA-RISC, Intel x86, Intel IA-64, Motorola 680x0, MIPS, MIPS (DEC), Power PC,IBM S/390, Sparc y actualmente estn por soportar Sun UltraSparc y SuperH de Hitachi siendo elsistema Linux que ms arquitecturas soporta.
Dentro de los paquetes existentes en Debian tenemos varias herramientas para la deteccin deintrusiones en tiempo real que detectan comportamientos hostiles en una conexin, se suelenclasificar de 2 tipos, los que monitorean intentos de ataque a toda una red o los que solomonitorean las actividades de un host determinado.
Utilizamos la herramienta PortSentry para detectar escaneo de puertos,TripWire para detectar modificaciones a los archivos de sistema yLogSentry para el anlisis de bitcoras; siendo el primero y el ltimo parte de la suite deherramientas llamada TriSentry de Psionic Technologies.
El sistema PortSentry vigila los puertos de nuestro sistema y ejecutauna accin (generalmente un bloqueo) en caso de detectar un intento deconexin a un puerto que no queremos sea escuchado.
Su pgina principal se encuentra en yest disponible para sistemas Solaris, BSD, AIX, SCO, Digital Unix, HP-UX, y Linux.
En Debian puede instalarse tecleando la instruccin:
apt-get install portsentry
Se pueden especificar diferentes niveles de actividad, el modo clsico,stealth y avanzado, toda la configuracin se encuentra en el archivo/usr/local/psionic/portsentry/portsentry.conf
Las principales opcioneslas consulte directamente de un artculo de Jos Torres Luque en la revistaES Linux Magazine y son las siguientes:
El sistema TripWire permite monitorear la integridad de los archivos delsistema, su pgina principal se encuentra est disponible para el sistema operativo Linux y de manera comercial paraWindows NT, Solaris, AIX y HP-UX.
En Debian puede instalarse tecleando la instruccin:
apt-get install tripwire
Se utilizan dos claves para almacenar la informacin, la primera "sitekey" se utiliza para cifrar los archivos de polticas y configuracin,la "local key" se utiliza para cifrar la informacin que muestra elestado de los archivos que son monitoreados.
La configuracin se realiza de manera sencilla en el archivo/etc/tripwrie/twpol.txt y una vez modificado se "instala" tecleando lainstruccin:
twadmin -m P /etc/tripwire/twpol.txt
Para generar la base de datos inicial con el estado actual de losarchivos ejecutamos la instruccin:
tripwire -m i 2
Para verificar la integridad del sistema de archivos ejecutamos lainstruccin:
tripwire -m c
El archivo de configuracin puede ser borrado para que un posibleintruso no pueda ver que archivos son revisados por lo que ejecutamos lasiguiente instruccin:
rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt
Para crearlos en caso de ser necesario tecleamos la instruccin:
twadmin -m p > /etc/tripwire/twpol1.txttwadmin -m f > /etc/tripwire/twcfg.txt
El sistema LogCheck forma parte de LogSentry, nos permite hacer una revisin de bitcoras de manerams efectiva pues clasifica y genera reportes de las actividades y errores que realmente se debenconsultar, lo hace en 4 niveles: ignorar, actividad no usual, violacin de seguridad y ataque.
Su pgina principal se encuentra en est disponible para sistemas Solaris, BSD, HP-UX y Linux.
En Debian puede instalarse tecleando la instruccin:
apt-get install logcheck
Instala el programa logtail en /usr/local/bin para mantener un registrode que logs ya han sido analizados, tambin instala los siguientes archivos:
Utilizamos la herramienta Snort para registrar los intentos de ataque anuestra red. Su pgina principal se encuentra y est disponible paraBSD, Solaris, AIX, Irix, Windows, MacOS y Linux. En Debian puede instalarse tecleando la instruccin:
apt-get install snort
Funciona en tres modos, como sniffer, packet logger y como detector deintrusos.
En modo sniffer lee todos los paquetes que pasan por la red y losmuestra en consola, en modo packet logger enva los datos a un archivodentro de un directorio.
Snort -v
Muestra el IP y las cabeceras.
Snort -dv
Tambin muestra los datos que pasan.
Snort -dev
De manera ms detallada.
En este modo nos informar de escaneos de puertos, ataques de denegacinde servicio, ejecucin de exploits, etc. Basndose en reglasespecificadas en el archivo /usr/local/share/snort estas reglas puedenser descargadas de la pgina principal y son actualizadas del servidorcada hora aproximadamente.
Su configuracin es tan sencilla como modificar el archivo snort.confdonde especificamos los detalles de nuestra red y directorios detrabajo, se modific solamente la IP:
var HOME_NET IP
Para ejecutar snort tecleamos la instruccin:
snort -c snort.conf
Los archivos de registro se almacenan en /var/log/snort donde podemosver las IPs atacantes. Por supuesto esta es una revisin bsica de loque podemos hacer con Snort, te recomiendo que revises ms documentacinya que es una herramienta excelente que, por cierto, ha sido comparada porrevistas y grupos de seguridad recomendndola como la mejor herramienta dedeteccin de intrusos para cualquier plataforma Unix y Windows.Existe soporte comercial por empresas como Silicon Defense y Source Fire ascomo interfaces grficas que empiezan a surgir para una mejor y ms estticapresentacin de resultados.
En algunas ocasiones surgen emergencias que no fueron contempladas conanterioridad y tienen que resolverse de manera inmediata.Estos problemas generalmente son ocasionados por personasmalintencionadas o intrusos que intentan acceder por algn motivo anuestros servidores, desde robar o alterar nuestra informacin hastaatacar a otros equipos desde el nuestro, desde instalar un programasniffer o algn rootkit.