Detección de intrusos con bisot

Detección de intrusos con bisot

Este artículo explica cómo instalar Snort y cómo comenzar con alertas y reglas de Snort para implementar con éxito un sistema de detección de intrusiones.

Snort es un sistema de detección de intrusos que analiza el tráfico y los paquetes para detectar anomalías, como el tráfico malicioso, e informarlos. Si no está familiarizado con los sistemas de detección de intrusiones, es posible que desee comenzar a leer la conclusión final sobre ellos. Si quieres ir directamente a las instrucciones prácticas, sigue leyendo.

Después de leer este artículo, podrá instalar Snort en las distribuciones de Linux basadas en Debian y Redhat, establecer diferentes modos de Snort, definir alertas y reglas. Las instrucciones de uso de Snort en este tutorial son válidas para todas las distribuciones de Linux.

Todas las instrucciones en este documento contienen capturas de pantalla para facilitar que todos los usuarios de Linux las entiendan y las apliquen.

Instalación de Snort

Puede instalar Snort con el apto Gerente de paquetes en Debian o Ubuntu como se muestra en la siguiente captura de pantalla:

sudo apt install snort

Durante el proceso de instalación, se le pedirá que defina su red. Prensa DE ACUERDO Continuar con el siguiente paso.

Ahora, escriba su dirección de red en formato CIDR. Normalmente, Snort Auto lo detecta con éxito.

Entonces presione DE ACUERDO o INGRESAR. No se preocupe por este paso; Esta configuración se puede editar más tarde.

Los usuarios de distribución de Linux basado en Red Hat pueden descargar el paquete Snort de https: // www.bufido.org/descarga#Snort-Downloads y luego instálelo ejecutando el siguiente comando, donde <Versión> debe ser reemplazado por la versión actual que descargó.

sudo yum esnort-<Versión>.rpm

Mantener las reglas de Snort actualizadas

Snort contiene dos tipos principales de reglas: reglas comunitarias desarrolladas por la comunidad de Snort y las reglas oficiales. Siempre puede actualizar las reglas de la comunidad por defecto. Pero para actualizar las reglas oficiales, necesita un código OINK, un código que le permite descargar las últimas reglas.

Para obtener un código OINK, regístrese en https: // www.bufido.org/users/firm_up.

Después de registrarse, confirme la cuenta desde su correo electrónico e inicie sesión en el sitio de Snort.

En el menú del lado izquierdo del tablero, presione oinkcode y verá su código.

https: // www.bufido.org/reglas/snortrules-snapshot-.alquitrán.GZ?oinkcode =

En mi caso, usé el Snort 2.9.15.1 y el siguiente enlace para descargar las reglas:

https: // www.bufido.org/reglas/snortrules-snapshot-29151.alquitrán.GZ?oinkcode =15e4f48aab11b956bb27801172720f2be9f3686d

Puede crear un script cron para descargar y extraer las reglas al directorio adecuado.

Configuración de Snort

El archivo de configuración de Snort es/etc/bisot/bisoteo.confusión. Antes de comenzar, los usuarios de Debian deben seguir los pasos mencionados en los siguientes. Otros usuarios de distribución pueden continuar leyendo desde/etc/bisot/bisot.edición de archivo confirmación.

Nota para usuarios de Debian: Debian Linux sobrescribe algunas configuraciones de red en el archivo de configuración predeterminado de SNORT. Bajo el directorio /etc /bisot, está el /etc/bisot/bisot.debian.confusión Archivo desde donde se importan la configuración de la red de Debian.

Si es un usuario de Debian, ejecute el siguiente código:

sudo nano/etc/bisot/bisot.debian.confusión

Verifique que toda la información en este archivo de configuración sea correcta, incluida la dirección CIDR, el dispositivo de red, etc.

Guarda el archivo. Comencemos a configurar el bisoteo.

Para configurar el bufón, use cualquier editor de texto como se muestra en lo siguiente (utilicé nano) para abrir el /etc/bisot/bisot.confusión archivo.

sudo nano/etc/bisot/bisot.confusión

Verifique su configuración de red y desplácese hacia abajo.

Defina los puertos que desea ser monitoreados.

No cierre el archivo y siga leyendo la siguiente sección (mantenga abierto el archivo de configuración).

Reglas de inicio

Las reglas de SNORT están habilitadas o deshabilitadas comentando o incommentando líneas en el/etc/bisot/bisoteo.archivo conf. Pero las reglas se almacenan en el /etc/snort/reglas archivo.

Para habilitar o deshabilitar las reglas, abra el /etc/bisot/bisot.confusión con un editor de texto. Las reglas se encuentran al final del archivo.

Cuando llegue al final del archivo, verá una lista de reglas para diferentes propósitos. Descopmento las reglas que desea habilitar y comentar las reglas que desea deshabilitar.

Por ejemplo, para detectar el tráfico relacionado con los ataques de DOS, la regla de DOS. O desenchufe la regla FTP para monitorear los puertos 21.

sudo nano/etc/bisot/bisot.confusión

Después de desenchufar las reglas, habilitar, guardar y salir del documento.

Los 7 modos de alerta de Snort

Snort incluye 7 modos de alerta diferentes para ser notificados sobre eventos o incidentes. Los 7 modos son los siguientes:

  • Rápido: Las alertas de Snort incluyen la marca de tiempo, enviando un mensaje de alerta, que muestran las direcciones y puertos IP de origen y destino. Para implementar este modo, use el -Un ayuno
  • Lleno: Además, en la información reportada previamente en el modo rápido, el modo completo también imprime el TTL, la longitud del datagrama y los encabezados de paquetes, el tamaño de la ventana, el ACK y el número de secuencia. Para implementar este modo, use el -Una completa
  • Consola: Muestra las alertas en tiempo real en la consola. Este modo está habilitado con el -Una consola
  • CMG: Este modo solo es útil para fines de prueba.
  • Descanse: Esto se utiliza para exportar alertas a los enchufes Unix.
  • Syslog: Este modo (Protocolo de registro del sistema) instruye a Snort a enviar un registro de alerta remota. Para ejecutar este modo, agregue -s
  • Ninguno: Sin alertas.

Para finalizar este artículo, intentemos el modo completo ejecutando el siguiente comando, donde -Un ayuno indica un escaneo de modo rápido y -C Especifica el archivo de configuración (/etc/snort/snort.conf).

sudo snort -a rápido -c/etc/bisot/bisot.confusión

Ahora, inicie algunos escaneos NMAP o intente conectarse a través de SSH o FTP a su computadora y lea el /var/log/bisot/bisot.alerta.rápidas las últimas líneas para verificar cómo se informa el tráfico. Como puede ver, lanzé un escaneo agresivo de NMAP y se detectó como un tráfico malicioso.

cola/var/log/bisot/bisot.alerta.rápido

Espero que este tutorial sirva como una buena introducción al bufete. Pero debe seguir aprendiendolo leyendo las alertas de Snort y los tutoriales de creación de reglas de Snort Lecturas obligatorias para comenzar con Snort.

Sobre sistemas de detección de intrusos

El pensamiento general es que si un firewall está protegiendo la red de uno, la red se considera segura. Sin embargo, eso no es del todo cierto. Los firewalls son un componente fundamental de una red, pero no pueden proteger completamente la red de las entradas forzadas o la intención hostil. sistema de deteccion de intrusos se utilizan para evaluar los paquetes agresivos o inesperados y generar una alerta antes de que estos programas puedan dañar la red. Un sistema de detección de intrusos basado en host se ejecuta en todos los dispositivos en una red o se conecta a la red interna de una organización. En cambio, un sistema de detección de intrusos basado en la red se implementa en un cierto punto o grupo de puntos desde los cuales se puede monitorear todo el tráfico de ingreso y saliente. La ventaja de un sistema de detección de intrusos basado en el host es que también puede detectar anomalías o tráfico malicioso que se generan desde el host en sí, como si el host se ve afectado por el malware, etc. Sistemas de detección de intrusos (IDS) Trabajar al monitorear y analizar el tráfico de la red y lo compara con un conjunto de reglas establecido para determinar qué debe tomarse como normal para la red (para puertos, anchos de banda, etc.) y qué echar un vistazo más de cerca a.

Se puede implementar un sistema de detección de intrusos dependiendo del tamaño de la red. Hay docenas de identificaciones comerciales de calidad, pero muchas empresas y pequeñas empresas no pueden pagarlos. Snort es un sistema de detección de intrusos flexible, liviano y popular que se puede implementar de acuerdo con las necesidades de la red, que van desde redes pequeñas a grandes, y proporciona todas las características de una identificación pagada. Snort no cuesta nada, pero eso no significa que no pueda proporcionar las mismas funcionalidades que una élite, identificaciones comerciales. Snort se considera un IDS pasivo, lo que significa que huele los paquetes de la red, se compara con el conjunto de reglas y, en el caso de detectar un registro o entrada maliciosa (detectando una intrusión), genera una alerta o coloca una entrada en un registro archivo. Snort se utiliza para monitorear las operaciones y actividades de enrutadores, firewalls y servidores. Snort proporciona una interfaz fácil de usar que contiene una cadena de conjuntos de reglas que puede ser muy útil para una persona que no está familiarizada con las IDS. Snort genera una alarma en caso de intrusión (ataques de desbordamiento de búfer, envenenamiento por DNS, huellas digitales de OS, escaneos de puertos y mucho más), dando a una organización una mayor visibilidad del tráfico de la red y haciendo que sea mucho más fácil cumplir con las regulaciones de seguridad.

Ahora, te presentan IDS. Comencemos ahora.

Conclusión

Los sistemas de detección de intrusos como Snort se utilizan para monitorear el tráfico de la red para detectar cuándo un usuario malicioso realiza un ataque antes de que pueda doler o afectar la red. Si un atacante realiza un escaneo de puertos en una red, el ataque se puede detectar junto con el número de intentos realizados, la dirección IP del atacante y otros detalles. Snort se usa para detectar todo tipo de anomalías. Viene con una gran cantidad de reglas que ya están configuradas, junto con la opción de que el usuario escriba sus propias reglas de acuerdo con sus necesidades. Dependiendo del tamaño de la red, Snort se puede configurar y usarse fácilmente sin gastar nada, en comparación con los otros sistemas de detección de intrusos comerciales pagados. Los paquetes capturados se pueden analizar más a fondo utilizando un sniffer de paquetes como Wireshark para analizar y desglosar lo que va en la mente del atacante durante el ataque y los tipos de escaneos o comandos realizados. Snort es una herramienta gratuita, de código abierto y fácil de configurar. Puede ser una gran opción para proteger cualquier red de tamaño mediano de un ataque.