Configurar IDS Snort y crear reglas
Snort es un sistema de detección de intrusos (IDS) de código abierto para el monitoreo de la red. Al leer este tutorial, aprenderá cómo instalar Snort tanto en Debian como en CentOS y configurar una configuración y reglas de Snort personalizadas.
Este documento incluye la detección de ataque de escenario real.
Todas las explicaciones en este tutorial incluyen capturas de pantalla de ejemplo de escenario real, lo que facilita a cualquier usuario de Linux comprender cómo funciona de forma independiente desde su nivel de experiencia.
Instalación de Snort (Debian)
Esta sección explica cómo instalar Snort en los sistemas basados en Debian primero; Después de las instrucciones de instalación de Debian, encontrará pasos para instalarlo en CentOS.
Antes de instalar Snort en las distribuciones de Linux con sede en Debian, actualice los repositorios de su sistema ejecutando el siguiente comando:
actualización de sudo apt-get
Después de actualizar repositorios, instale Snort usando el siguiente comando:
sudo apt install snort -y
El proceso de instalación le informará que la sintaxis para definir las direcciones de red en el archivo de configuración es CIDR (enrutamiento entre dominios sin clase). Prensa INGRESAR para continuar con la instalación.
El instalador detectará automáticamente su estructura de red. En este paso, verifique si la detección es correcta y corrígela si es necesario. Entonces presione INGRESAR.
Después de presionar INGRESAR, La instalación concluirá.
Instalación de Snort (CentOS)
Para instalar Snort en CentOS, descargue el último Snort rpm Paquete para CentOS en https: // www.bufido.org/descargas#Snort-Downloads.
Luego, ejecute el siguiente comando, donde <Versión> debe reemplazarse con la versión de Snort que descargó del enlace anterior:
sudo yum esnort-.rpm
Importante para los usuarios de Debian
Debian Linux sobrescribe algunas opciones relacionadas con la configuración de red en el archivo de configuración predeterminado de Snort. Las opciones de reescritura se obtienen del sistema operativo. Bajo la configuración del directorio de Snort, está el /etc/bisot/bisot.debian.confusión Archivo donde se importan la configuración de la red de Debian.
Por lo tanto, si usa Debian primero, abra el /etc/bisot/bisot.debian.confusión Archivo para verificar el archivo de configuración y editarlo si es necesario, usando el siguiente comando:
sudo nano/etc/bisot/bisot.debian.confusión
Como puede ver, en mi caso, la configuración predeterminada obtenida del sistema operativo es correcto.
Nota: Si la configuración de la red no es correcta en su caso, ejecute sudo DPKG-Reconfigure Snort
Si su configuración es correcta, presione CTRL+Q abandonar.
Configuración de Snort
Esta sección incluye instrucciones para la configuración inicial de Snort.
Para configurar Snort, abra el /etc/bisot/bisot.confusión Usar nano, vi o cualquier editor de texto.
sudo nano/etc/bisot/bisot.confusión
Dentro del archivo de configuración, encuentre la siguiente línea:
ipvar home_net cualquiera
Puede agregar su red o direcciones IP específicas. Para agregar a su red, reemplace la línea con lo siguiente, donde x.X.X.x/x debe reemplazarse con una dirección CIDR:
ipvar home_net x.X.X.x/x
En mi caso, reemplazo esa línea con lo siguiente:
ipvar home_net 192.168.0.16/01
Pero, si desea agregar direcciones IP específicas, la sintaxis se muestra a continuación, donde 192.168.0.3, 10.0.0.4 y 192.168.1.3 debe reemplazarse con las direcciones IP para ser monitoreadas por Snort. Escriba todas las direcciones IP separadas por una coma entre soportes cuadrados.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
Deje la línea ipvar external_net cualquiera como predeterminado; A continuación, puede ver mi configuración:
Si cae, verá opciones para monitorear servicios específicos y desenchufar sus servicios habilitados.
Cuando termine de editar el archivo, cierre para guardar cambios. Si no tiene servicios abiertos, simplemente cierre los cambios de ahorro.
Prueba de configuración de Snort con ataques reales
Ahora, probemos Snort ejecutando el comando que se muestra a continuación. Reemplace la dirección IP o la red con la suya.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -A Consola -C/etc/Snort/Snort.confusión
Donde significan los indicadores de comando ejecutados anteriormente:
-d = le dice a Snort que muestre datos
-l = determina el directorio de registros
-H = Especifica la red para monitorear
-A = instruye a Snort a las alertas de impresión en la consola
-c = Especifica Snort el archivo de configuración
Para probar Snort, mientras se ejecuta, inicie un escaneo agresivo de huellas digitales (XMAS) desde otra computadora usando NMAP, como se muestra a continuación:
sudo nmap -v -st -o 192.168.0.103
Como puede ver en la siguiente captura de pantalla, Snort detecta el intento de huella digital:
Ahora, lanzemos un Ddos atacar usando nping3 desde otra computadora.
HPING3 -C 10000 -D 120 -S -W 64 -P 21 -inmovedor - -Rand -Source 10.0.0.3
Como puede ver a continuación, Snort detecta el tráfico malicioso:
Ahora que vemos cómo funciona Snort, creemos reglas personalizadas.
Comenzando con las reglas de Snort
Las reglas de ajuste de sujeción disponibles se almacenan en el /etc/snort/reglas directorio. Para ver qué reglas están habilitadas o comentadas, debe leer el /etc/bisot/bisot.confusión Archivo que editamos anteriormente.
Ejecute el siguiente comando y desplácese hacia abajo para ver reglas deshabilitadas y habilitadas. Algunas reglas están deshabilitadas para los usuarios de Debian porque no están disponibles en las reglas de Debian Stock.
menos/etc/bisot/bisot.confusión
Como se dijo anteriormente, los archivos de reglas se almacenan en el /etc/snort/reglas directorio.
Verifiquemos las reglas para detectar e informar el tráfico de puertas traseras.
sudo menos/etc/bisot/reglas/puerta trasera.normas
Como puede ver, hay varias reglas para evitar ataques de puerta trasera. Sorprendentemente, hay una regla para detectar e informar Netbus, un caballo troyano que se hizo popular hace décadas. Expliquemos cómo funciona esta regla.
Alerta TCP $ home_net 12345: 12346 -> $ external_net any (msg: "netbus de puerta trasera
activo "; flujo: from_server, establecido; contenido:" netbus "; referencia: arachnid
S, 401; Classtype: Misciáctica; Sid: 109; Rev: 5;)
Alerta TCP $ Externos_Net Any -> $ Home_net 12345: 12346 (Msg: "Backdoor NetBus GetInfo"; Flow: To_Server, Establecido; Contenido: "GetInfo | 0d |"; Referencia: Arácnidos, 403; Classtype: Miscivividad; SID: SID: 110; rev: 4;)
Dónde:
-> = Especifica la dirección del tráfico, en este caso desde nuestra red protegida hasta una
contenido = Busque contenido específico dentro del paquete. Puede incluir texto si entre comillas ("") o datos binarios si se entre (| |).
profundidad = Análisis intenso; En la regla anterior, vemos dos parámetros diferentes para dos contenidos diferentes.
compensación = Instruye a Snort el byte inicial de cada paquete para comenzar a buscar el contenido.
Classtype = Informa sobre qué tipo de ataque Snort está alertando.
SID: 115 = Identificador de reglas.
Cómo crear tu propia regla de bisoteo
Ahora, crearemos una nueva regla para notificar sobre las conexiones SSH entrantes.
Crear a/etc/bisot/reglas/yourrule.archivo de reglas usando un editor de texto. Puede nombrar el archivo como desee. Eso es arbitrario, así que respeta el camino.
sudo nano/etc/snort/reglas/yourrule.normas
Pegar la siguiente regla dentro del archivo. Como puede ver, la regla notificará cuándo un dispositivo intenta conectarse a través de SSH.
Alerta TCP $ Externos_Net Any -> $ Home_net 22 (msg: "SSH entrante"; Flow: Stateless; Flags: S+; Sid: 100006927; Rev: 1;)
Cierra y guarda el archivo.
Ahora, agregue la regla al archivo de configuración de Snort y ejecute el siguiente comando:
sudo nano/etc/bisot/bisot.confusión
Desplácese hacia abajo, y en la sección Reglas, agregue la siguiente línea, donde “YourRule.Las reglas "deben ser reemplazadas por su nombre de regla personalizado.
Incluya $ rule_path/yourrule.normas
Cierre el editor de texto; Por lo tanto, guardar cambios.
Ahora, ejecute Snort ejecutando el siguiente comando como lo hicimos anteriormente; Si ya estaba abierto, está bien:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -A Consola -C/etc/Snort/Snort.confusión
Intentaré conectarme desde otra computadora usando ssh.
SSH 192.168.0.103
Como puede ver en la siguiente imagen, la regla que creamos informa el intento de conexión.
Eso es todo para este tutorial. Si desea obtener más información sobre Snort Custom Alerts, le recomiendo este tutorial https: // Linuxhint.com/ snort_alerts/ para continuar leyendo sobre alertas de Snort.
Conclusión
Como puede ver, configurar y crear reglas de Snort es simple. Cada usuario de Linux puede hacerlo entendiendo el contenido explicado previamente. Es importante recordar aspectos de configuración exclusivos para los usuarios de Debian previamente explicados. Hay algunas alternativas de Snort que puede probar, como OSSEC, pero Snort sigue siendo las más populares para los usuarios de Linux. También es importante que Snort funcione para todos los sistemas operativos dentro de la red.
Gracias por leer este artículo explicando cómo configurar las ID de Snort y cómo crear reglas. Sigue a Linuxhint para obtener más tutoriales profesionales de Linux.