Snort: un sistema de detección de intrusos en la red para Ubuntu

Snort es un conocido sistema de prevención y detección de intrusos en la red (IDS) de código abierto. Snort es muy útil para monitorear el paquete enviado y recibido a través de una interfaz de red. Puede especificar la interfaz de red para monitorear el flujo de tráfico. Snort funciona sobre la base de la detección basada en firmas. Snort utiliza diferentes tipos de conjuntos de reglas para detectar intrusiones en la red, como la comunidad. Reglas de registro y suscripción. Snort correctamente instalado y configurado puede ser muy útil para detectar diferentes tipos de ataques y amenazas como sondeos SMB, infecciones de malware, sistemas comprometidos, etc. En este artículo, aprenderemos cómo instalar y configurar Snort en un sistema Ubuntu 20.04.

Reglas de resoplido

Snort utiliza conjuntos de reglas para detectar intrusiones en la red, que son las siguientes. Hay tres tipos de conjuntos de reglas disponibles:

reglas de la comunidad

Estas son las reglas creadas por la comunidad de usuarios de snort y están disponibles sin costo alguno.

Reglas registradas

Estas son las reglas proporcionadas por Talos y solo están disponibles para usuarios registrados. El registro toma solo un momento y es gratuito. Después del registro, obtendrá un código que se necesita para enviar al enviar la solicitud de descarga

Reglas de suscripción

Estas reglas también son las mismas que las reglas registradas, pero se proporcionan a los usuarios registrados antes del lanzamiento. Estos conjuntos de reglas se pagan y el costo se basa en el usuario personal o el usuario comercial.

Instalación de Snort

La instalación de snort en el sistema Linux sería un proceso manual y largo. Hoy en día la instalación es muy sencilla y fácil ya que la mayoría de las distribuciones de Linux han puesto a disposición el paquete Snort en los repositorios. El paquete se puede instalar desde la fuente así como desde los repositorios de software.

Durante la instalación, se le pedirá que proporcione algunos detalles sobre la interfaz de red. Ejecute el siguiente comando y anote los detalles para uso futuro.

                      $ ip a
                    

Para instalar la herramienta Snort en Ubuntu, use el siguiente comando.

                      $ sudo apt install snort
                    

en lo anterior example, ens33 es el nombre de la interfaz de red y 192.168.218.128 es la dirección IP. los /24 muestra que la red tiene la máscara de subred 255.255.255.0. Tome nota de estas cosas ya que necesitamos proporcionar estos detalles durante la instalación.

Ahora, presione tab para navegar a la opción ok y presione enter.

Ahora proporcione el nombre de la interfaz de red, navegue hasta la opción Aceptar usando la tecla de tabulación y presione Entrar.

Proporcione la dirección de red con la máscara de subred. Navegue a la opción ok usando la tecla de tabulación y presione enter.

rango de direcciones IP de la red local

Una vez que se complete la instalación, ejecute el comando debajo de verificar.

                      $ snort --version
                    

Comprobar la versión de Snort

Configurando resoplido

Antes de usar el Snort, hay algunas cosas que hacer en el archivo de configuración. Snort almacena los archivos de configuración en el directorio /etc/resoplido/ como el nombre del archivo resoplido.conf .

Edite el archivo de configuración con cualquier editor de texto y realice los siguientes cambios.

                      $ sudo vi /etc/snort/snort.conf
                    

Encuentra la línea ipvar HOME_NET cualquiera en el archivo de configuración y reemplace cualquiera con su dirección de red.

Configurar Snort

en lo anterior exampleuna dirección de red 192.168.218.0 con máscara de subred prefijo 24 se usa Reemplácelo con su dirección de red y proporcione el prefijo.

Guarda el archivo y cierra

Descargar y actualizar las reglas de Snort

Snort utiliza conjuntos de reglas para la detección de intrusos. Hay tres tipos de conjuntos de reglas que hemos descrito anteriormente al comienzo del artículo. En este artículo, descargaremos y actualizaremos las reglas de la comunidad.

Para instalar y actualizar las reglas, cree un directorio para las reglas.

                      $ mkdir /usr/local/etc/rules
                    

Descargue las reglas de la comunidad usando el siguiente comando.

                      $ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
                    

O bien, puede navegar por el enlace a continuación y descargar las reglas.

https://www.snort.org/downloads/#snort-3.0

Extraiga los archivos descargados en el directorio creado anteriormente.

                      $ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
                    

Habilitar modo promiscuo

Necesitamos hacer que la interfaz de red de la computadora Snot escuche todo el tráfico. Para que esto suceda, habilite el modo promiscuo. Ejecute el siguiente comando con el nombre de la interfaz.

                      $ sudo ip link set ens33 promisc on
                    

Donde ens33 es el nombre de la interfaz

Establecer interfaz de red en modo promisc

resoplido corriendo

Ahora estamos bien para empezar el Snort. Siga la sintaxis a continuación y sustituya los parámetros según corresponda.

                      $ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
                    

Donde,

-d se usa para filtrar paquetes de capa de aplicación

-l se usa para configurar el directorio de registro

-h se utiliza para especificar la red doméstica

-A se usa para enviar la alerta a las ventanas de la consola

-c se usa para especificar la configuración de snort

Una vez que se inicie Snort, obtendrá el siguiente resultado en la terminal.

Usando Snort en Ubuntu

Puede consultar los archivos de registro para obtener información sobre la detección de intrusos.

Snort funciona sobre la base de conjuntos de reglas. Por lo tanto, mantenga siempre actualizados los conjuntos de reglas. Puede configurar un cronjob para descargar las reglas y actualizarlas periódicamente.

Conclusión

En este tutorial, aprendimos a usar snort como un sistema de prevención de intrusiones en la red en Linux. Además, he cubierto cómo instalar y usar snort en un sistema Ubuntu y usarlo para monitorear el tráfico en tiempo real y detectar amenazas.

Snort: un sistema de detección de intrusos en la red para Ubuntu

Related Posts