Hola amigos soy COCO!! y hoy les voy a enseñar a configurar el Snort.
Supongamos que tenemos la máquina SNORT 192.168.0.1, donde correrá el detector de intrusos y la máquina MYSQL 192.168.0.2, donde correrá el servidor de base de datos. Lo primero que hay que hacer es descargar una librería con la que windows no dispone,
WinpCap imprescindible para realizar las labores de sniffer. La descargaremos desde aqui:
http://winpcap.polito.it/Lo primero que nos pregunta Snort cuando lo instalamos es que si queremos soporte para FlexResp. Esto nos permite cerrar conexiones cuando un patrón es reconocido. Nos preguntará si queremos soporte para MS SQL Server, pero no lo necesitamos. El resto se puede dejar todo por defecto.
Para configurarlo vamos al archivo
snort.conf, (en c:\snort\etc\) aqui encontraremos la info necesaria para configurar la herramienta a vuestro gusto. Abrirlo con el Wordpad.
Lo más importante es que nos aseguremos de que Snort encuentra las reglas vigilando la variable
var RULE_PATH. por defecto viene con el valor ".../rules", esto significa que escala un directorio para encontrarlo. Lo cambiaremos por:
var RULE_PATH c:\snort\rulesLa variable HOME_NET nos dice qué se quiere monitorizar dentro de nuestra red, si solo queremos monitorizar nuestro host es necesario indicarlo así 192.168.0.1/32
La variable EXTERNAL_NET monitoriza los valores que vienen desde fuera, lo dejaremos con el valor por defecto "any".
Esto nos dará las targetas de red encontradas en nuestro sistema.
c:\snort\bin\snort -W
[...]
Interface Device Description
----------------------------------
1 \Device\NPF_(7945111-479A-4234-9D11-77456HEUY7J23) (Realtek RTL8029(AS) Ether net Adapt)
Si el programa no arranca es debido a que no encuentra un archivo, lo mejor es añadir las rutas de donde tengamos instalado Snort a todos los módulos en snort.conf
Por ejemplo, será necesario modificar las líneas con la ruta completa:
include c:\snort\etc\reference.config e
include c:\snort\etc\classification.configTb se puede añadir Snort como un servicio de esta manera:
snort /SERVICE /INSTALL -de -c
c:\snort\etc\snort.conf -l c:\snort\log -i1Siendo el "1" el número de la interfaz. Añadir al registro las instrucciones necesarias.
Desde ahora:
net start snort
net stop snort
controlarán el servicio.
Si queremos desinstalar el servicio:
snort /SERVICE/UNINSTALLSi el servicio arranca sin problemas es que todo ha ido bien.
Más adelante cuando tengamos la base de datos, tendremos que descomentar en snort.conf la salida del IDS de esta forma:
output database: alert, MySQL, user=snortusr password=clave dbname=snort host=192.168.0.2 (aclaro que el host es inventado, ahi poner el vuestro :wink: )
Aqui indicamos el tipo de base de datos, el usuario y la contraseña para poder realizar cualquier acción sobre ella, el nombre de la base de datos y donde está alojada. Tb el tipo de registro que queremos almacenar. En nuestro caso, "alert", guardaría lo que el sistema detecte como amenaza.
Bueno chic@s lo siguiente será preparar la base de datos...pero eso lo haré dentro de un ratillo que ahora tengo un poco de faena.
Salu2 :P