Instalar Syt de detección de intrusión Snort Ubuntu
Después de configurar cualquier servidor entre los primeros pasos habituales vinculados a la seguridad, son el firewall, las actualizaciones y las actualizaciones, las claves SSH, los dispositivos de hardware. Pero la mayoría de los sysadmins no escanean sus propios servidores para descubrir puntos débiles como se explica con OpenVas o Nessus, ni configuran honeypots o un sistema de detección de intrusos (IDS) que se explica a continuación.
Hay varias identificaciones en el mercado y las mejores son gratis, Snort es el más popular, solo sé que Snort y Ossec y prefiero OSSEC sobre Snort porque come menos recursos, pero creo que Snort sigue siendo el Universal. Las opciones adicionales son: Suricata, Bro IDS, Cebolla de seguridad.
La investigación más oficial sobre la efectividad de IDS es bastante antigua, a partir de 1998, el mismo año en que se desarrolló inicialmente Snort, y fue realizado por DARPA, concluyó que tales sistemas eran inútiles antes de los ataques modernos. Después de 2 décadas, evolucionó en la progresión geométrica, la seguridad también lo hizo y todo está casi actualizado, la adopción de identificaciones es útil para cada sysadmin.
Snort IDS
Los ID de buhardilla funcionan en 3 modos diferentes, como Sniffer, como registrador de paquetes y sistema de detección de intrusos de red. El último es el más versátil para el que este artículo está enfocado.
Instalación de Snort
apt-get install libpcap-dev bison flex
Entonces corremos:
apt-get install snort
En mi caso, el software ya está instalado, pero no fue de manera predeterminada, así fue como se instaló en Kali (Debian).
Comenzando con el modo Sniffer de Snort
El modo Sniffer lee el tráfico de la red y muestra la traducción para un espectador humano.
Para probarlo:
# Snort -V
Esta opción no debe usarse normalmente, mostrar el tráfico requiere demasiados recursos, y se aplica solo para mostrar la salida del comando.
En la terminal podemos ver encabezados de tráfico detectados por Snort entre la PC, el enrutador e Internet. Snort también informa la falta de políticas para reaccionar al tráfico detectado.
Si queremos que Snort muestre el tipo de datos también:
# Snort -vd
Para mostrar los encabezados de la capa 2 corriendo:
# snort -v -d -e
Al igual que el parámetro "V", "E" representa un desperdicio de recursos también, su uso debe evitarse para la producción.
Comenzando con el modo de registrador de paquetes de Snort
Para guardar los informes de Snort, debemos especificar para besar un directorio de registro, si queremos que Snort muestre solo encabezados y registre el tráfico en el tipo de disco:
# mkdir snortlogs
# snort -d -l snortlogs
El registro se guardará dentro del directorio de SnortLogs.
Si desea leer el tipo de archivos de registro:
# snort -d -v -r logFileName.registro.xxxxxxx
Comenzando con el modo del Sistema de detección de intrusión de red de Snort (NIDS)
Con el siguiente comando, Snort lee las reglas especificadas en el archivo/etc/snort/snort.Conf para filtrar el tráfico correctamente, evitando leer todo el tráfico y centrarse en incidentes específicos
referido en el bisot.conf a través de reglas personalizables.
El parámetro "-A Consola" instruye a Snort que se alerta en el terminal.
# snort -d -l snortlog -h 10.0.0.0/24 -A Consola -C Snort.confusión
Gracias por leer este texto introductorio al uso de Snort.