Snort Instalacion y Configuracion PDF

CAPTULO 3
INSTALACIN Y CONFIGURACIN
1 Esquemas de Red con Snort

En primer lugar antes de proceder a la instalacin y configuracin de Snort, se van a
describir las distintas posibilidades para la ubicacin del IDS en la red. La colocacin de
Snort en la red se debe de realizar en funcin del trfico que se quiere vigilar: paquetes
entrantes, salientes, dentro del firewall, fuera del firewall...
Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la

correlacin en la red. As la interoperabilidad permite que un sistema IDS pueda
compartir u obtener informacin de otros sistemas como firewalls, routers y switches, lo
que permite reconfigurar las caractersticas de la red de acuerdo a los eventos que se
generan.
Se puede colocar el IDS de las siguientes formas:
Delante del firewall.

Detrs del firewall.
Combinacin de los dos casos.
Firewall/NIDS.
Combinaciones avanzadas.
A continuacin se describe cada una de ellas.
1.1 Delante del firewall
De esta forma el IDS puede comprobar todos los ataques producidos, aunque
muchos de ellos no se hagan efectivos. Genera gran cantidad de informacin en los logs,
que puede resultar contraproducente.
1.2 Detrs del firewall

Snort colocado detrs del firewall suele ser la ubicacin caracterstica, puesto que
permite analizar, todo el trafico que entra en la red (y que sobrepasa el firewall).
Adems, permite vigilar el correcto funcionamiento del firewall. Monitoriza nicamente
el trfico que haya entrado realmente en la red y que no ha sido bloqueado por el
firewall. Con lo cual la cantidad de logs generados es inferior a la producida en el caso
anterior.
Dentro de esta ubicacin, como se muestra en la figura 3-1, se puede situar el IDS
atendiendo a los siguientes esquemas:
2 Utilizacin de Sistemas de Deteccin de Intrusos como Elemento de Seguridad Perimetral
a) IDS colocado tras un Hub (concentrador que une conexiones y no altera las
tramas que le llegan).
b) IDS colocado tras un switch con un puerto replicador. El switch almacena la

trama antes de reenviarla hacia snort.
c) IDS colocado en modo bridge. De esta forma se establece una comunicacin

directa entre los dos adaptadores de red.
Figura 3-1. Esquemas de colocacin del IDS
En los dos primeros mtodos se replican los datos mediante hardware y en el tercer
mtodo se hace mediante software. El procedimiento para instalar Snort en modo bridge
es el siguiente:
En primer lugar se instala la utilidad bridge:

rpm i sysfsutils-1.2.0-4.i386.rpm (dependencias)
rpm i bridge-utils-1.0.4-6.i386.rpm
Se establece el puente entre los adaptadores de red (eth0 y ath0):

brctl addbr br0
brctl addif br0 eth0
brctl addif br0 ath0
Se habilitan los adaptadores eth0, ath0 y se configura el adaptador del puente,

br0 con una direccin de la red interna.
ifconfig eth0 up
ifconfig ath0 up
ifconfig br0 192.168.0.2 netmask 255.255.255.0 up
Se ejecuta el comando brctl show y se comprueba que el puente se ha

establecido correctamente, obteniendo una salida similar a la de la figura 3-2.
Captulo 3. Instalacin y Configuracin 3
Figura 3-2. Salida brctl show
1.3 Combinacin de los dos casos anteriores

Combinando la colocacin del IDS delante y detrs del firewall el control que se
ejerce es mayor. Se puede efectuar una correlacin entre ataques detectados en un lado
y otro. El inconveniente es que se necesitan dos mquinas para implementarlo.
1.4 Firewall / NIDS

Otra opcin es usar una nica mquina que haga las funciones de firewall y de
NIDS a la vez.
1.5 Combinaciones avanzadas

Se utilizan para cubrir necesidades de seguridad ms altas. Por ejemplo si se
necesita que cada NIDS monitorice un segmento de red o hosts individuales.
Una vez que se ha seleccionado la ubicacin del IDS en nuestra red se procede a su
instalacin y configuracin. Seguidamente se describe el proceso seguido para ello.
2 Deshabilitar firewall y selinux

En primer lugar se definen los trminos firewall y selinux.
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores

contra intrusiones provenientes de redes de terceros (generalmente desde Internet). Un
sistema de firewall filtra paquetes de datos que se intercambian a travs de Internet. Por
lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes
interfaces de red:
Una interfaz para la red protegida (red interna)

Una interfaz para la red externa.
Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el

kernel 2.6.x usando los mdulos de seguridad linux. SELinux define el acceso y los
derechos de transicin de cada usuario, aplicacin, proceso y archivo en el sistema.
Gobierna la interaccin de estos sujetos y objetos usando una poltica de seguridad que
especifica cun estricta o indulgente una instalacin de Red Hat Enterprise Linux dada
debera de ser.
El componente SELINUX puede deshabilitarse durante el proceso de instalacin o

bien, si ya se tiene instalado en el sistema, se deber modificar el fichero
/etc/selinux/config realizando las siguientes modificaciones:
SELINUX=disabled
SELINUXTYPE=targeted
Con objeto de no tener problemas en el proceso de instalacin del sistema, se va a

deshabilitar el cortafuegos iptables ejecutando:
iptables F
Posteriormente se guarda la configuracin con:

iptables-save >/etc/sysconfig/iptables
3 Instalacin automtica
Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas:
intalndolo y compilndolo manualmente o descargando los paquetes ya compilados.
Si se desea instalar Snort y Mysql directamente desde las fuentes, bastar con
ejecutar el comando:
yum install snort
O yum install snort-mysql si se quiere descargar snort para que almacene las alertas
en mysql. As se descargarn ya los paquetes compilados de snort y mysql y las
dependencias necesarias (libpcap, pcre,..).
La forma ms sencilla es instalarlo directamente a travs de un gestor de paquetes

(como yum) pero es importante instalarlo de forma manual porque de esa forma se
puede personalizar y adaptar Snort a nuestras necesidades. A continuacin se describe el
procedimiento para la instalacin manual de Snort.
4 Instalacin y compilacin manual

Hay que tener en cuenta que si se pretende realizar la instalacin de forma manual,
se debe de instalar en primer lugar mysql, para indicarle a Snort que almacene sus
alertas en dicha base de datos.
Antes de realizar la instalacin de Snort se deben de instalar las dependencias: gcc-

c++.
Para instalar el compilador de forma automtica se debe ejecutar el siguiente

comando:
yum install gcc-c++
Flex
Flex (www.gnu.org/software/flex) es un rpido generador analizador lxico. Es una

herramienta para generar programas que realizan concordancia de patrones en el texto.
Flex es un servicio gratuito (pero no-GNU) de la implementacin del programa lex de
Unix.
Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:

yum install flex
Bison
Bison (www.gnu.org/software/bison) es un generador analizador de propsito

general que convierte una gramtica de libre contexto en un LALR o un analizador GLR
para esta gramtica.
Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:

yum install boison
Libpcap
Libcap es una librera de programacin de paquetes de TCP/IP requerida en la

mayora de programas que analizan y monitorizan el trfico en una red. Para instalar
libpcap hay que realizar los siguientes pasos:
En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz de Internet:

www.tcpdump.org
Se descomprime el paquete ejecutando:

tar xvfz libpcap-0.9.8.tar.gz
Se compila y se instala ejecutando los comandos:

cd libpcap-0.9.8
./configure
make
make install
Pcre
PCRE es una librera que implementa funciones de pattern maching. Para instalar
pcre hay que realizar los siguientes pasos:
Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org)
Se descomprime el paquete:
tar xvfz pcre-7.4.tar.gz.
Finalmente se compila y se instala ejecutando los comandos:

cd pcre-7.4
./configure.
make.
y make install.
Una vez instaladas las dependencias, para instalar snort hay que seguir los siguientes
pasos:
Se descarga el paquete snort-2.8.0.1.tar.gz de Internet (www.snort.org)
Se descomprime el paquete ejecutando

tar xvfz snort-2.8.0.1.tar.gz
Se compila y se instala ejecutando para ello:

cd snort-2.8.0.1
./configure
make
make install.
En el caso de que se quiera compilar Snort para que tenga soporte para MySQL, se
deben de tener en cuenta las siguientes consideraciones:
Se deben de instalar primero las libreras de MySQL. Para ello se debe de

ejecutar:
yum install mysql-devel
Finalmente se compila Snort ejecutando el comando:

./configure --with-mysql
make
make install
5 Configuracin
En primer lugar para configurar Snort se van a crear los directorios que necesita para
trabajar:
Se crea el directorio de trabajo de snort:

mkdir /etc/snort
Se crea el directorio donde se van a guardar las firmas:

mkdir /etc/snort/rules
Se crea el directorio donde va a guardar el registro de actividad:

mkdir /var/log/snort
adduser snort
chown snort /var/log/snort
Se crea el fichero de configuracin local:

touch /etc/sysconfig/snort
Se copia el ejecutable a su directorio de trabajo:

cp /usr/local/bin/snort /usr/sbin
A continuacin se deben copiar los ficheros necesarios para poder trabajar con
Snort:
Ficheros de configuracin.
o Se copia el fichero snort.conf en /etc/snort/ de la siguiente forma:

cp /root/snort-2.8.0.1/etc/snort.conf /etc/snort/
o Se copia el fichero unicode.map en /etc/snort ejecutando:

cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/
o Se copia el script de inicio del servidor:

cp /root/snort-2.8.0.1/rpm/snortd /etc/init.d/
chmod 755 /etc/init.d/snortd
Firmas:
o Se deben de descargar las firmas de Snort desde www.snort.org y

descomprimIr las firmas en la carpeta /etc/snort/rules.
o Posteriormente se copian los archivos con la extensin .config en el

directorio /etc/snort. Estos archivos son classification.config y
references.config:
cp /etc/snort/rules/*.config /etc/snort
Preprocesadores:
o Se crea la carpeta donde se van a guardar los preprocesadores ejecutando:

mkdir /etc/snort/preproc_rules
o Finalmente se copian los preprocesadores del directorio de las fuentes a la

carpeta que hemos creado:
cp /root/snort-2.8.0.1/preproc_rules/* /etc/snort/preproc_rules/
El fichero de configuracin (/etc/snort/snort.conf) nos permite configurar el sistema

para realizar las siguientes acciones:
Especificacin de la red redes sobre las cuales actuar el snort. Se trata de

definir el rango de direcciones de nuestra red local.
Configurar libreras dinmicas. Las libreras dinmicas son ficheros

independientes que pueden ser invocados desde el ejecutable.
Configurar los preprocesadores. Los preprocesadores son plug-ins o partes

del programa que definen una manera de analizar los paquetes y detectar un mal
funcionamiento o un tipo de ataque.
Configurar los plugins de salida. Snort se puede configurar para que tenga
varios modos de salida. Estos modos de salida son: por pantalla, en ficheros de
log, en una base de datos, con syslog (servidor de eventos del sistema) y con
varios formatos como en formato binario (para exportar datos a otros
programas).
Directivas de configuracin. Las directivas de configuracin definen comandos

y otras opciones de configuracin de snort. El archivo snort.conf incluye el
archivo classification.config (define las clasificaciones de las reglas) y el fichero
reference.config (define sistemas de identificacin de ataque externos).
Personalizar el conjunto de reglas. Snort usa un lenguaje de descripcin de

reglas simple y flexible para describir cmo se deben de manejar los datos.
Para realizar una configuracin bsica de Snort, se pueden hacer las siguientes
modificaciones bsicas sobre el archivo de configuracin de Snort:
Se especifica el rango de direcciones de nuestra red interna modificando la

variable HOME_NET:
var HOME_NET <Direccin de red> o ANY.
Se indica el directorio donde se encuentran almacenadas las reglas, modificando

variable:
var RULE_PATH /etc/snort/rules.
Se determina el directorio donde se encuentran los preprocesadores:

var PREPROC_RULE_PATH /etc/snort/preproc_rules
Se activan los preprocesadores que se desean utilizar.
Se habilitan las reglas que se quieren utilizar. Para ello se comentan o

descomentan las reglas deseadas. Se recomienda mirar los ficheros de reglas
antes de incluirlos, puesto que las reglas por defecto son muy restrictivas y
generan demasiadas alertas. Como mnimo se desactiva la regla web_misc_rules.
Se guarda el archivo de configuracin snort.conf.
6 Modos de ejecucin
Snort es una herramienta que funciona en cuatro modos:
Sniffer Mode.
Packet Logger Mode.
Network Intrussion Detection System (NIDS).
Inline Mode.
Los modos de ejecucin de Snort se activan dependiendo de los parmetros de

ejecucin que se empleen. En la tabla 3-1 se puede ver un resumen de los parmetros
ms importantes que se pueden utilizar con Snort.
Tabla 3-1. Parmetros de Snort

Parmetro Modo Descripcin Ejemplo
Activa los modos de ejecucin
-v Sniffer Muestra en pantalla la direccin IP y snort -v
las cabeceras TCP/UDP/ICMP. Pone
snort en modo sniffer
-l Packet Sirve para especificar el directorio snort l /etc/snort/log
loger donde se almacenarn los ficheros de
log generados por snort.
-c NIDS Se utiliza para especificar el directorio snort dev c
del archivo de configuracin /etc/snort/snort.conf
snort.conf. Loguea los paquetes de red,
especificndole la ruta del
fichero de configuracin de
snort.
Muestra informacin detallada sobre el trfico

-d Incluye todas las cabeceras de la capa snort -d
de red (TCP, UPD e ICMP)
-e Incluye las cabeceras de la capa de snort -e
enlace.
Permite indicar el tipo de registro
-b Indica logging en modo binario. El snort -l /etc/snort /log b
formato binario es tambin conocido Analiza el trfico
como TCPDump. El formato binario almacenando los log en el
hace que la informacin de los directorio etc/snort/log en
paquetes vaya ms rpido debido a que formato binario.
Snort no tiene que traducir al formato
entendible por los humanos de forma
inmediata.
-L Sirve para especificar un archivo de log snort -b -L {log-file}
binario. Registra el paquete binario
especificado en log-file.
-r Procesa un archivo de log grabado en snort -dv -r packet.log
modo binario. Lee del fichero binario
packet.log.
Permite indicar el trfico que vamos a analizar
-h Se utiliza para indicar la direccin IP snort -h 10.1.0.0/24
de la red local de actuacin del snort. Analiza el trfico de la red
10.1.0.0/24.
-i Indica la Interfaz de red de donde snort -dev i eth0
obtiene los datos.
(and / or / Se usan para ignorar paquetes snort -vd not host
not) host procedentes de una direccin IP y 10.1.1.254
funcionan con las expresiones and, or, Ignora el trfico procedente
not. de la IP 10.1.1.254.
src net Se utilizan para ignorar el trfico de la snort -vd src net 10.1.0
red origen indicada. Ignora el trfico de la red
10.1.1.0.
(dst / src) Sirven para ignorar el trfico de red snort -vd -r <file> not host
port que tengan el puerto indicado como 10.1.1.20 and src port 22
destino u origen. Ignora el trfico de red
procedente del host
10.1.1.20 con puerto
destino 22.
A continuacin se describen los modos de funcionamiento de Snort:
6.1 Sniffer Mode

El modo sniffer permite escuchar todo el trfico de la red y mostrarlo en pantalla.
Una vez que finaliza el modo sniffer nos muestra una estadstica del trfico.
Para iniciar el modo sniffer y visualizar en pantalla todo el trfico TCP/IP se debe
de ejecutar el comando:
snort -v
Si se se quiere visualizar los campos de datos que pasar por la interfz de red se
ejecuta como se indica a continuacin:
snort -dev
En la figura 3-3, se puede ver el resultado de la ejecucin del comando anterior.
Figura 3-3.. Snort en modo sniffer
6.2 Packet Logger Mode

Si se ejecuta Snort en modo sniffer se vern gran cantidad de informacin mostrada
por pantalla, con lo cual sera interesante guardar estos datos en disco para su posterior
estudio.
El modo Packet Logger escucha todo el trfico de la red y lo registra en un

determinado directorio. Para ejecutar snort en este modo se debe utilizar el parmetro l
/var/log/snort. Donde /var/log/snort es el directorio donde se registra el trfico.
La figura 3-4, muestra el modo de ejecucin de Snort packet logger.

Figura 3-4. Snort en modo packet logger
6.3 Network Intrusin Detection System (NIDS)

Snort ejecutado en modo NIDS, ofrece la opcin ms completa y configurable.
Permite analizar el trfico de la red en busca de intrusiones a partir de los patrones de
bsqueda (rules) definidos por el usuario. Snort nos informar de intentos de acceso no
permitido a nuestro host, as como de escaneos de puertos, ataques DOS, ejecucin de
exploits, etc.
Para que Snort funcione en modo IDS, se debe utilizar el parmetro -c directorio
hacia snort.conf.
Seguidamente en la figura 3-5, se puede ver la salida de Snort en el modo de

ejecucin NIDS.
Figura 3-5. Snort en modo NIDS
6.4 Inline Mode

Permite configurar el NIDS para que interacte con el cortafuegos de forma que si
Snort detecta un ataque puede enviar a iptables la peticin para que corte el trfico. En
este modo de ejecucin se obtiene los paquetes desde iptables en vez de libcap, y los
paquetes son aceptados o rechazados en funcin de las reglas definidas en Snort.
Hay varias herramientas que permiten el funcionamiento de Snort en modo inline.

Estas herramientas se analizarn ms adelante en el apartado de los IPS (Sistemas de
Prevencin de Intrusiones), que poseen las caractersticas de los IDS, con el aadido de
realizar alguna accin para prevernir una intrusin detectada por el IDS.
7 Frontends
La idea general es que el front-end es el responsable de recolectar los datos de
entrada del usuario, que pueden ser de muchas y variadas formas, y representarlos de
forma que puedan ser analizados de un modo ms simple.
Se han instalado los siguientes Frontends:
ACID
BASE
SNORTSMS
SnortSnarf
Para la instalacin de estos Frontends se necesitar instalar y configurar previamente

otras herramientas como el servidor web Apache, el soporte PHP para dicho servidor y
Mysql para almacenar las alertas generadas por Snort.
A continuacin se describe el procedimiento seguido para ello, as como la

instalacin y ejecucin de los distintos frontends que se han instalado:
7.1 Instalacin de Apache

Apache (http://httpd.apache.org) es un Servidor de HTTP de libre distribucin
diseado para gran variedad de sistemas operativos incluyendo UNIX y el Windows
NT. El objetivo de este proyecto es proporcionar un servidor seguro, eficiente y
extensible que proporciona servicios HTTP en sincronizacin con los estndares
actuales de HTTP. Apache ha sido el servidor web ms popular en Internet desde Abril
de 1996.
Para instalar Apache se puede descargar de la pgina oficial (www.apache.org) o

ejecutando directamente:
yum install httpd
Una vez finalizada la instalacin el directorio donde se encuentra la configuracin

del sistema es /etc/httpd/conf y el directorio donde se encuentran las pginas web es
/var/www/html.
Para iniciar el servidor web apache se ejecuta el comando:

service httpd start
Seguidamente si se escribe la direccin http://localhost en un navegador se podr

ver que el servidor funciona correctamente.
7.2 Instalacin de PHP

PHP (http://es.php.net/) es una lenguaje de scripting extensamente usado de uso
general que sobre todo es til para el desarrollo Web y puede ser integrado en HTML.
Ser necesario para dar soporte al servidor web Apache instalado anteriormente.
Se puede instalar php, descargndolo desde www.php.net y ejecutando:

./configure --with-mysql
make
y make install
Tambin se puede proceder a instalarlo directamente desde las fuentes. Para ello, se
escribe en lnea de comandos:
yum install php
yum install php-mysql

7.3 Instalacin de MySQL
MySQL (http://www.mysql.com/) es un sistema de gestin de base de datos

relacional, multihilo y multiusuario, que se utilizar como mdulo de salida de las
alertas proporcionadas por Snort. Ser necesario tener almacenadas las alertas en una
base de datos mysql para el funcionamiento de buena parte de las interfaces de
visualizacin de eventos que se instalarn posteriomente.
Para instalar el servidor MySQL para que almacene las alertas de snort se deben
de ejecutar los siguientes comandos:
yum install mysql-server
yum install mysql-devel
Se inicia el servicio de MySQL ejecutando:

service mysqld start
A continuacin se debe de crear en MySQL una base de datos para registrar las
alertas del sistema de deteccin de intrusos. Para ello, se deben de realizar los siguientes
pasos:
En primer lugar hay que conectarse al servidor MySQL:

mysql u root
Posteriormente, se le dan todos los privilegios al usuario root, indicndole una

contrasea de acceso:
GRANT ALL PRIVILEGES ON mysql.*TO root@localhost IDENTIFIED BY
'test';
Se crea la base de datos de snort:

CREATE DATABASE snort;
Se puede crear un usuario especfico para la base de datos snort, para no usar el
usuario root:
GRANT ALL PRIVILEGES ON snort.*TO snort@localhost IDENTIFIED BY
'test';
Ntese que el login y el password para la base de datos snort deber ser el
mismo que el especificado en el archivo /etc/snort/snort.conf.
Finalmente, salimos de MySQL con:

exit.
A continuacin se crean las tablas para la base de datos de snort, importndolas del
archivo create_mysql que se encuentra en el subdirectorio /schemas de donde se
descomprimieron las fuentes:
Se ejecuta para ello el comando:

mysql -u root -p snort </root/snort-2.8.0.1/schemas/create_mysql
Se introduce la contrasea, en este caso test
Para comprobar que se han creado las tablas correctamente se pueden realizar los
siguientes pasos:
Se entra en MySql:
mysql -u root p snort
Se introduce la contrasea test
Se selecciona la base de datos snort:

use snort;
Para ver las tablas que se han creado para nuestra base de datos snort se ejecuta:
show tables;
La figura 3-6 muestra las tablas de Snort que se han creado.
Figura 3-6. Tablas de snort
7.4 Instalacin de Frontends

Existen varios front-ends para visualizar la informacin generada por Snort. A
continuacin se comentan varios de ellos.
7.4.1 ACID
ACID (Analysis Console for Intrusion Databases - http://www.acid.org/) es una

consola de anlisis Web que permite al administrador de sistemas analizar los datos
generados por Snort y almacenarlos en una base de datos (como por ejemplo MYSQL),
permitiendo ver la direccin IP del atacante, la fecha, el tipo de ataque, etc. ACID
genera grficos y estadsticas, basados en tiempo, sensores, vulnerabilidad, protocolo,
direccin IP, puertos TCP/UDP.
Para ponerla en funcionamiento bastar con que realizar los siguientes pasos:
Se descarga el paquete acid-0.9.6b23.tar.gz desde la pgina web:

http://acidlab.sourceforge.net
A continuacin se descomprime el paquete en el directorio /var/www/html.

cd /var/www/html
tar xvfz acid-0.9.6b23.tar.gz
Una vez hecho esto, se necesitan instalar los paquetes jpgraph y adodb para el
correcto funcionamiento de ACID como se indica a continuacin:
En primer lugar se descarga Jpgraph-1.21 de la pgina www.aditus.nu/jpgraph

y adodb462 de la pgina http://adodb.sourceforge.net
Se descomprimen los paquetes jpgraph y adodb, y se copian dentro de la carpeta

ACID como se indica:
tar xvfz jpgraph-2.2.tar.gz
mv ./jpgraph-2.2 /var/www/
tar xvfz adodb496a.tgz

mv ./adodb /var/www/
Se edita el fichero acid_conf.php, dentro de la carpeta acid y se realizan los

siguientes cambios:
Se configura la conexin a la base de datos:

$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "test";
Se configura el path de los plugins:
$DBlib_path= /var/www/adodb;
$ChartLib_path = "/var/www/jpgraph-2.2/src";
Donde alert_dbname es el nombre de la base de datos; alert_host es el host donde

est almacenada la base de datos snort; alert_port es el puerto para acceder a la base de
datos; alert_user es el usuario propietario de la base de datos, que puede ser el usuario
snort o el usuario root; y alert_password es la contrasea para la base de datos de snort.
Una vez configurado ACID se inicia el navegador web y se escribe la url

http://localhost/acid. Si todo est correcto se debera de ver la pgina principal de ACID
(vase figura 3-7). Si es as, se procede a finalizar la configuracin de ACID. Para ello,
se pulsa el botn Setup page.
Figura 3-7. Instalacin de ACID Inicio
Posteriormente se pulsa el botn Create Acid AG para crear en la base de datos de

snort las tablas que necesita ACID para funcionar, tal y como se muestra en la Figura 3-
8.
Figura 3-8. Instalacin de ACID Crear Tablas
Si se desea tambin se pueden crear las tablas directamente ejecutando los siguientes
comandos:
En el directorio /var/www/html/acid, se ejecuta el comando:

mysql u root p snort <create_acid_tbls_mysql.sql
Se introduce la contrasea test.
Para ver si las tablas se han creado correctamente en primer lugar se selecciona
la base de datos snort:
use snort;
A continuacin para ver las tablas creadas se ejecuta:

show tables;
Se podr ver la estructura final de la base de datos snort con las 20 tablas creadas
(vase la figura 3-9).
Figura 3-9. Tablas de Snort con ACID

Finalmente se puede ver ACID funcionando como se muestra en la figura 3-10.
Figura 3-10. Funcionamiento de ACID
7.4.2 BASE
BASE (Basic Analysis and Security Engine - http://base.secureideas.net/) es una

interfaz web en PHP que permite gestionar de una forma fcil y cmoda las bases de
datos de seguridad generadas por varios IDS, cortafuegos, y herramientas de
monitorizacin.
Para ponerla en funcionamiento bastar con que realizar los siguientes pasos:
En primer lugar se descarga el paquete base-1.3.9.tar.gz desde la pgina web:

http://base.secureideas.net/.
A continuacin se descomprime el paquete en el directorio /var/www/html:

cp base-1.3.9.tar.gz /var/www/html
cd /var/www/html
tar xvfz base-1.3.9.tar.gz
mv base-1.3.9 base
Para poder utilizar BASE se necesitan tener instalados los paquetes adodb e
Image_Graph. A continuacin se ver cmo se instala cada uno de los paquetes:
Adodb
Adodb (Database Abstraction Library for PHP) es una librera de abstraccin de

base de datos para PHP.
Para instalar adodb hay que realizar los siguientes pasos:
Se descarga el paquete adodb462 de la pgina http://adodb.sourceforge.net.
Se descomprime el paquete y se copia dentro de la carpeta /var/www/:

tar xvfz adodb496a.tgz
mv ./adodb /var/www/
Image_Graph
Image_Graph proporciona un conjunto de clases que crea diversos elementos

grficos basados en datos numricos.
Para instalar el paquete Image_Graph hay que utilizar el instalador pear. Para ello,
el primero paso que hay que realizar es instalar el mdulo php-pear. Se puede instalar a
travs de go-pear siguiendo los siguientes pasos:
Descargar el paquete go_pear de: http://pear.php.net/package/pearweb_gopear
Descomprimir el paquete y en la carpeta public_html hay un archivo go-pear,

hay que ponerle la extensin php, quedando como go-pear.php. Posteriormente
se ejecuta: php -q go-pear.php para instalar el mdulo pear.
cd /var/www/html
cd base-1.2.6/
cd pearweb_gopear-1.1.1
cd public_html/
php -q go-pear.php
Se instalan los paquetes Image_Color, Image_Canvas e Image_ Graph. Para

ello realizamos los siguientes pasos:
o Se descargan los tres paquetes de las siguientes pginas web:

http://pear.php.net/get/Image_Color-1.0.2.tgz
http://pear.php.net/get/Image_Canvas-0.3.0.tgz
http://pear.php.net/get/Image_Graph-0.7.2.tgz
o Se copian los tres paquetes en la carpeta pearweb_gopear-1.1.0/public_html.

o Se copia el contenido de la carpeta bin en la carpeta public_html.
o Se instalan los tres paquetes ejecutando:

./pear install Image_Color-1.0.2.tgz
./pear install Image_Canvas-0.3.0.tgz
./pear install Image_Color-0.7.2.tgz
7.4.2.1 Pasos previos
Para poder iniciar el proceso de configuracin de BASE se deben de realizar los

siguientes pasos:
Modificar el nivel de reporte de errores de php. Para ello se modifica la variable

error_reporting del fichero /etc/php.ini como se muestra a continuacin:
error_reporting = E_ALL & - E_NOTICE [lnea 349]
Se asignan permisos de escritura a la carpeta /var/www/html/base para el usuario

apache. Una vez finalizada la instalacin se volver a poner los permisos de
lectura.
chown apache /var/www/html/base -R
chgrp apache /var/www/html/base -R
chmod 770 /var/www/html/base R
7.4.2.2 Configuracin
Para configurar BASE hay que realizar los siguientes pasos:
Conectarse desde un navegador a la direccin http://localhost/base y aparecer la

pantalla de la figura 3-11. A continuacin se pulsa el botn Continue.
Figura 3-11. Instalacin de BASE - Inicio

A continuacin se selecciona el idioma Spanish y se escribe la ruta donde se
encuentra instalado adodb (/var/www/adoddb). Se pulsa el botn Enviar
Consulta.
El siguiente paso es indicar los datos de la conexin a la base de datos. Para ello
se contestan a cada una de las opciones que se indican:
o Pick a Database Type: MySQL
o Database Name: snort
o Databse host: localhost
o Database port:
o Database User Name: snort
o Database Password: test
Una vez introducidos todos los datos se pulsa el botn Enviar Consulta para
continuar.
A continuacin se indica que se desea habilitar el sistema de autentificacin.

Para ello se selecciona la casilla Use Authentication System y, se escribe el
nombre y la contrasea del administrador:
o Admin User Name: root
o Password: test
Se pulsa el botn Enviar Consulta para continuar.
Posteriormente tal y como aparece en la figura 3-12, el sistema indica que se

deben de crear las tablas necesarias para que BASE trabaje correctamente. Se
debe de pulsar el botn Create BASE AG para crear las tablas de BASE.
Figura 3-12. Instalacin de BASE Crear tablas
Aparecer un informe en el que se muestra que las tablas se han creado

correctamente (vase figura 3-13) y se finaliza la instalacin.
Figura 3-13. Finalizacin de Instalacin de Base
Finalmente se puede ver el funcionamiento de BASE, mostrando las alertas

generadas como se puede ver en la figura 3-14.
Figura 3-14. Funcionamiento de BASE
Una vez que el sistema ha sido configurado correctamente hay que quitar los
permisos de escritura del usuario apache ejecutando el siguiente comando:
chmod 550 /var/www/html/base -R
Si se desea ver las tablas que se han creado en el proceso de instalacin debe
ejecutar los siguientes comandos:
Se entra en mysql ejecutando:

mysql u root p snort
Se escribe la contrasea test

Se indica la base de datos snort:

use snort;
Y finalmente para ver la estructura final de la base de datos snort (vse figura
3-15), se ejecuta:
show tables;
.
Figura 3-15. Tablas de snort con BASE instalado
7.4.2.3 Instalacin de base-plugins
Para instalar el plugin SnortCenter de BASE lo primero que hay que hacer es
descargar el paquete base-0.9.7-plugin-v1.tar.gz de la pgina
http://base.secureideas.net/.
A continuacin se copia el fichero al directorio de trabajo de base y se

descomprime:
cp base-0.9.7-plugin-v1.tar.gz /var/www/html/base
cd /var/www/html/base
tar xvfz base-0.9.7-plugin-v1.tar.gz
Para utilizar BASE con el plugin SnortCenter tan slo hay que conectarse a la
direccin http://localhost/base. (vase figura 3-16).
Figura 3-16. Base con el plugin snortcenter

7.4.3 SnortSMS
SnortSMS (http://snortsms.sourceforge.net/index.php) es un sistema de gestin de

sensores altamente configurable que proporciona la capacidad de administracin remota
de Snort y tambin de Barnyard. Hace uso de los archivos de configuracin y permite
aadir/eliminar reglas, as como monitorizar las estadsticas del sistema de forma simple
a travs de una interfaz web. Si se tienen uno o mltiples sensores de Snort, SnortSMS
puede ayudar a unificar y sincronizar todas las configuraciones de todos los sensores.
El objetivo principal de SnortSMS es ayudar a unificar y sincronizar las

configuraciones de todos los sensores en un entorno con mltiples sensores de forma
remota, combinando tecnologas de software libre como MySQL, Apache y PHP.
7.4.3.1 Componentes principales de SnortSMS
SnortSMS es una coleccin de tecnologas que trabajan en conjuncin.

Principalmente est compuesto por el Sitio Web que recibe el nombre de SnortSMS
Collector y por el Agente PHP de SnortSMS.
El Sensor IDS de SnortSMS tiene un Agente que usa un portal web que funciona
como listener para recibir y enviar informacin hacia y desde el Colector SnortSms. Los
scripts del Agente estn escritos en PHP y requieren un servidor web en el sensor para
escuchar las peticiones del Colector. Se puede elegir el servidor web Apache, aunque en
este caso se ha optado por usar el servidor web lighttpd porque tiene un tamao
pequeo, puede soportar autenticacin HTTP, php-cgi y SSL.
Barnyard es una herramienta opcional que permite que las alertas de Snort sean
propagadas a la base de datos central en background. Aunque Snort tiene la
funcionalidad de escribir los eventos en la base de datos directamente, se recomienda
Barnyard porque es ms seguro y libera a Snort de la latencia y entradas errneas que
podran ocasionar la eliminacin de eventos.
7.4.3.2 Caractersticas de SnortSMS
Las principales caractersticas que posee esta herramienta son las que se nombran a
continuacin:
Gestin Centralizada de los Sensores. Unifica todos los sensores bajo una
interfaz comn. Permite crear y compartir polticas de configuracin globales a
travs de los sensores IDS, y arrancar y parar sensores de forma remota.
Soporte Barnyard. Posee soporte integrado para Barnyard incluendo auto-

generacin de sid-msg.map, que se usa para traducir el identificador
encontrado en una regla de Snort a una cadena de texto.
Monitorizacin del Estado. Monitoriza las estadsticas del estado de todos sus
sensores.
Verificacin de Configuracin. Usa checksums MD5 para validar las polticas

de configuracin de los sensores con las propiedades globales de configuracin.
Importacin de Reglas. Instantneamente permite descargar e importar reglas y

archivos de configuracin de Snort dentro de las libreras de SnortSMS.
Auditora de Reglas. Almacena registros histricos de revisiones pasadas de

reglas.
Visualizacin de Eventos. Posee un visor de alertas de Snort para realizar

bsquedas sobre las mismas.
7.4.3.3 Requerimientos del Sistema
SnortSMS est diseado para funcionar sobre dos sistemas Linux: uno que realice la
funcin del Colector SnortSMS y otro la del Sensor IDS SnortSMS, aunque ambos
podran convivir en la misma mquina.
Seguidamente se listan los principales requerimientos de cada sistema:
Colector SnortSMS
Sistema Operativo Unix. (FreeBSD, Linux, Solaris, etc...)
Apache. Servidor http Apache
php4 (o php5). Lenguaje de Script PHP (Mdulo de Apache y Cliente)

o php-curl.La extensin curl para php.
o php-pcre. La extensin pcre para php.
o php-pcntl. La extensin pcntl para php.
o php-mysql. La extensin php-mysql
o pear-DB. Capa de Abstraccin de Base de Datos PEAR para php.
MySQL Server. Servidor de MySQL (Base de Datos SQL Multithread).
tar. Comando para crear archivos comprimidos y aadir o extraer archivos.
Sensor IDS SnortSMS
Sistema Operativo Unix. FreeBSD, Linux, Solaris, etc...
MySQL Server. Servidor de Base de Datos SQL Multithread.
tar. Comando para crear archivos comprimidos y aadir o extraer archivos.

Snort. Sistema de Deteccin de Intrusos.
Lighttpd. Servidor Web, seguro, rpido y muy flexible.

o php-pcre. La extensin pcre para php.
o php-pcntl. La extensin pcntl para php.
MySQL Client. Cliente de MySQL (Base de Datos SQL

Multithread)[opcional].
Barnyard. Un sistema de salida para Snort. [opcional].
7.4.3.4 Instalacin y Configuracin de SnortSMS
Para la instalacin de SnortSMS seguimos los siguientes pasos:
En primer lugar se descarga la herramienta desde la pgina web:

http://sourceforge.net/project/showfiles.php?group_id=138173
Posteriormente se descomprime:
tar xvfz snortsms-1.7.8.tar.gz
Se copia la carpeta en el directorio del servidor web Apache donde residir el
SnortSMS Collector, en este caso: /var/www/html:
cp /root/snortsms-1.7.8 /var/www/html
Se dan permisos al usuario y grupo apache sobre el directorio snortsms:

chown apache /var/www/html/snortsms-1.7.8 -R
chgrp apache /var/www/html/snortsms-1.7.8 -R
chmod 770 /var/www/html/snortsms-1.7.8 -R
Una vez descargado el paquete, se debern de instalar y configurar los dos

componentes de SnortSMS. Es decir, se debe instalar y configurar el SnortSMS IDS
Sensor y el SnortSMS Collector.
A continuacin se describe el proceso necesario para instalar y configurar los dos
componentes de SnortSMS.
SnortSMS IDS Sensor
Para la instalacin de SnortSMS IDS Sensor, se deben de tener instalados los

componentes que se han indicado anteriormente en los Requerimientos del Sistema:
php4 o php5, Mysql Server, tar, snort, el servidor web (en este caso se ha optado por
instalar lighttpd), php-pcre y php-pcurl y opcionalmente el Mysql Client y Barnyard.
Se asume que se tienen instalados todos los componentes necesarios. En este caso se
va a instalar el sensor en el mismo host donde residir el Colector, si bien puede
localizarse en un host remoto. Para el IDS Sensor se va a instalar el servidor web
ligtthpd porque es ms recomendable, aunque tambin podra utilizarse el servidor web
Apache.
A continuacin se explica cmo instalar y configurar el servidor web lighttpd.
Lighttpd
Para la instalacin y configuracin del servidor web lighttpd se deben de realizar

los siguientes pasos:
Se instala lighttpd con el comando:

yum install lighttpd
Se instala tambin el mdulo fastcgi para lighttpd:

yum install lighttpd-fastcgi.
Se crea el directorio donde se va a almacenar el servidor web en este caso se va

a crear una carpeta lighttpd en /var/www.
mkdir /var/www/lighttpd
Una vez instalado lighttpd se debe proceder a su configuracin. Para ello se edita el
archivo lighttpd.conf que se encuentra en /etc/lighttpd.
En el subdirectorio Agent del paquete snortsms-1.7.8, se encuentra un ejemplo de

archivo de configuracin.
A continuacin se muestran las principales opciones que hay que modificar en
lighttpd.conf:
Se descomentan los mdulos a cargar cuando se ejecute lighttpd. Al menos se

deben de tener los mdulos mod_access, mod_accesslog. En este caso tambin
se han indicado los mdulos mod_fastcgi, y mod_cgi.
Se indica el directorio raz del servidor. En este caso se trata del subdirectorio
creado anteriormente:
server.document-root = "/var/www/lighttpd/"
Se coloca la ruta para enviar los mensajes de error:

server.errorlog = "/var/log/lighttpd/error.log"
Se deben de tener los nombres de los arhivos a chequear:

index-file.names = ( "index.php", "index.html", "index.htm", "default.htm" )
Se le indica el archivo de log para el acceso:

accesslog.filename = "/var/log/lighttpd/access.log"
Tambin se debe de indicar el puerto donde estar el servidor (por defecto es el

80), aunque en este caso se ha puesto el puerto 10000.
server.port = 10000
Se modifica la variable server.bind indicando el host en el cual se encuentra el

servidor web:
server.bind = "192.168.1.179"
Se especifica la ruta para el archivo .pid de lighttpd.

server.pid-file = "/var/run/lighttpd.pid"
Se activan si se desean las opciones para el mdulo fastcgi:

fastcgi.server = ( ".php" =>
( "localhost" =>
("socket" => "/var/run/lighttpd/php-fastcgi.socket-3",
"bin-path" => "/usr/bin/php-cgi")))
Opciones para el mdulo cgi:

cgi.assign = ( ".pl" => "/usr/bin/perl",
".cgi" => "/usr/bin/perl" )
Seguidamente se inicia el servidor lighttpd:

service lighttpd start
Si se quiere que el servicio se inicie automticamente se puede utilizar el comando

chkconfig para habilitar el servicio en los niveles de ejecucin correspondientes, en este
caso en todos los niveles:
chkconfig --level 0123456 lighttpd on
Si nos dirigimos a la direccin 192.168.1.179:10000 se puede ver la pgina de inicio

del servidor lighttpd, como muestra la figura 3-17.
Figura 3-17. Pgina inicio Servidor Web Lighttpd
Instalar el Agente
El agente de SnortSMS es un script en php que se encuentra en la carpeta Agent.

Para instalar el agente se siguen los siguientes pasos:
Se debe copiar dicho script en la localizacin donde va a residir el Sensor, en

este caso se encontrar en el directorio web de lighttpd creado anteriormente
(/var/www/lighttpd):
cp /var/www/html/snortsms-1.7.8/Agent/agent.php /var/www/html/snortsms-
1.7.8 /var/www/html
Se dan permisos de ejecucin al script agent.php y al usuario apache:

chmod 777 /var/www/html/agent.php
chown apache /var/www/html/agent.php
Si se quiere proteger el agente con autenticacin http, tenemos que crear un archivo
usuario/password. Se trata simplemente de crear un archivo de texto plano con el
usuario y el password separados por dos puntos. Es decir: usuario:password
Una vez realizados los pasos anteriores se puede testear el funcionamiento del
agente. Para ello, en el navegador web se escribe:
http://<userid>:<password>@<sensorip>:<port>/agent.php?ac=test
En este caso no se ha puesto autenticacin, as que simplemente se escribe:

http://192.168.1.179:10000/agent.php?ac=test y se ver la pgina de inicio del Agente
de SnortSMS (vase figura 3-18).
Figura 3-18. Pgina Inicio de SnortSMS
SnortSMS Collector
Para la instalacin del Colector de SnortSMS se deben de tener instalados y

configurados los requerimientos necesarios que se han indicado al principio: servidor
Apache, php4 o php5 con los mdulos php-curl, php-pcre, php-pcntl, php-mysql y pear-
DB, MySQL Server y tar.
Anteriormente se ha explicado la instalacin de apache, php y mysql. Si se han

seguido los pasos indicados anteriormente se habrn instalado los mdulos y
dependencias necesarios, a excepcin de pear-DB.
Para instalar pear-DB, se debe instalar la herramienta pear, que se ha explicado para
instalar BASE.
Php-pear se puede instalar a travs de go-pear siguiendo los siguientes pasos:
Descargar el paquete go_pear de: http://pear.php.net/package/pearweb_gopear
Descomprimir el paquete y en la carpeta public_html hay un archivo go-pear,

hay que ponerle la extensin php, quedando como go-pear.php. Posteriormente
se ejecuta: php -q go-pear.php para instalar el mdulo pear.
cd pearweb_gopear-1.1.1
cd public_html/
php -q go-pear.php
Una vez instalado pear, se instala pear-DB, ejecutando:

./pear install DB
Instalar el Sitio Web para SnortSMS Collector
Para instalar el Colector de SnortSMS, se deben de realizar los siguientes pasos:
En primer lugar se debe copiar la carpeta de snortsms en el directorio root del

servidor web, en este caso para el Colector ser el servidor web Apache, y el
directorio es /var/www/html, como se indic al principio.
Posteriormente se le dan permisos al subdirectorio conf de snortsms para que

pueda acceder el servidor web.
chown :apache /var/www/html/snortsms-1.7.8/conf
chmod 777 /var/www/html/snortsms-1.7.8/conf
chmod 664 /var/www/html/snortsms-1.7.8/conf
Se crea si no existe ya un directorio temporal para Snortsms y se le dan permisos

de ejecucin.
mkdir /var/tmp si no existe ya
chmod 777 /var/tmp/
Se crea un directorio para almacenar los logs de Snortsms:

mkdir /var/log/snortsms
chmod 777 /var/log/snortsms
Se debe modificar la configuracin del servidor PHP. Para ello se edita el

archivo php.ini localizado en el directorio /etc, y se cambian las siguientes
propiedades:
Modificaciones del fichero /etc/php.ini

short_open_tag = On
magic_quotes_gpc = Off
magic_quotes_runtime = Off
max_execution_time = 120
max_input_time = 120
memory_limit = 100M
post_max_size = 20M
upload_max_filesize = 20M
include_path=".:/var/www/html/base/pearweb_gopear-
1.1.1/public_html/PEAR"(localizacin del ejecutable pear aadido con go-pear)
Verificar que el servidor web Apache est correctamente configurado y el

directorio root del servidor es correcto.
Crear la Base de Datos de SnortSMS
Para ello, se inicia el servicio mysql:

Se crea una nueva base de datos, llamada SNORTSMS usando el esquema

proporcionado por el paquete snortsms:
mysql -u root -p </var/www/html/snortsms-1.7.8/schema/SNORTSMS.mysql
Se entra en mysql y se introduce el password:

mysql u root p
Se le dan permisos al usuario snort para acceder a la base de datos SNORTSMS:

GRANT ALL PRIVILEGES ON snort.*TO SNORTSMS@localhost IDENTIFIED
BY 'password';
Si se escribe dentro de mysql:

use SNORTSMS;
show tables;
Se vern las tablas creadas de SnortSMS como aparece en la figura 3-19.

Figura 3-19. Tablas de SnortSMS
Creacin de la Base de Datos de Alertas de Snort (Opcional)
Si se quiere tener una base de datos central para todos los sensores se puede crear la
base de datos de Snort. En este caso, ya se considera que se ha creado en el apartado de
Instalacin y Configuracin de Snort.
Por tanto, slo ser necesario modificar la base de datos de eventos de snort. Para
ello se procede de la siguiente forma:
Se usa la base de datos de snort, escribiendo dentro de la lnea de comandos de

mysql:
use snort;
Se debe modificar la tabla 'events' aadiendo el campo 'viewed', ejecutando:

alter table event add column viewed tinyint (1);
Una vez realizados los pasos anteriores, queda configurar las propiedades globales
de SnortSMS desde la interfaz web, como se explica a continuacin:
7.4.3.5 Configurar las propiedades globales de SnortSMS
A continuacin se describen las principales propiedades que hay que configurar para
poner en funcionamiento SnortSMS, y que se pueda comunicar con el Agente.
En primer lugar se abre el navegador web y se introduce la direccin apuntando

al directorio de snortsms en el directorio web: http://localhost/snortsms-1.7.8
Aparecer la interfaz web que se muestra en la figura 3-20, indicando el error de

que no se puede comunicar con la base de datos SNORTSMS, puesto que an no
se han realizado las configuraciones necesarias.
Figura 3-20. Instalacin SnortSMS Configuracin Inicial
Se debe pulsar la pestaa Login para entrar en la Configuracin. Para la

primera vez que se hace login, se introduce como usuario admin y como
password tambin admin.
En la ventana roja de arriba, se debe de hacer clic sobre "Global Settings" y

aparece la siguiente pantalla (vase figura 3-21) para configurar la Aplicacin
Web SnortSMS.
Figura 3-21. Instalacin SnortSMS Global Settings
Se deben introducir los datos referentes a la base de datos de SnortSMS, a la

base de datos de Snort, y otra serie de propiedades referentes a otros programas
y utilidades. Una vez configurado se pulsa en el botn Aplicar Cambios.
A continuacin se muestra en la figura 3-22, la configuracin completa de las

Propiedades Globales de SnortSMS que se ha realizado.
SnortSMS Global Settings
SnortSMS Database Settings

Database server (IP) localhost
Database Name SNORTSMS
Database login UserID root
Database login password test
Database server type mysql
Snort Alert Database Settings

Database server (IP) localhost
Database Name snort
Database login UserID root
Database login password test
Database server type mysql
External Programs
Full path to the PHP CLI executable. /usr/local/bin/php
Full path to local 'tar' command /bin/tar
Local 'tar' type GNU Other

Curl timeout (seconds) 15
Paths
Local directory for temporary files /var/tmp/snortsms
(must be read/writable by web server)
SnortSMS log file: Full path and filename /var/log/snortsms
Rule Pages
Maximum results per page 25
Maximum pages to pagenate 20
Monitoring
Monitor Console refresh rate (seconds). 180
CPU Utilization - Critical threshold. 4.5
CPU Utilization - Warning threshold. 2.5
Disk Capacity (%) - Critical threshold. 99
Disk Capacity (%) - Warning threshold. 80
Monitoring (DB-Feed)
Enter the 'IP' to the Snort database server. 192.168.1.179
Enter the 'port' to the Snort database server. 3306
HTTP Proxy
Use HTTP Proxy No Yes
HTTP Proxy Host localhost
HTTP Proxy Port 80
Use HTTP Proxy Authentication No Yes

HTTP Proxy Username
HTTP Proxy Password
Apply Changes
Figura 3-22. Configuracin de SnortSMS

Al finalizar la configuracin, si no ha habido errores, se podr ver la pantalla de
inicio de SnortSMS, tal y como se puede ver en la figura 3-23.
Figura 3-23. Pgina de Inicio de SnortSMS
Para asegurarnos de que todo est correctamente configurado, se puede ir al

men en la opcin Settings y seleccionar la opcin Test.
Si todo est correctamente se ver que pone PASSED en verde en cada opcin
correctamente configurada. En caso contrario nos aparecer FAILED en rojo, as
como el impacto que ocasiona y el modo de solucionarlo, como se puede ver en
la figura 3-24.
Figura 3-24. Errores en la Configuracin de SnortSMS
Hay que cerciorarse de que todos los resultados estn correctos antes de seguir
con la configuracin. En la figura 3-25, se muestra el resultado de la correcta
configuracin de SnortSMS.
Figura 3-25. Configuracin correcta de SnortSMS
Despus de que el test est correcto, se pasa a Crear un Nuevo Daemon Profile
para el sensor. Al menos se debe de crear un daemon profile, que se usa para
comunicarle a SnortSMS cuando lanzar el proceso snort en el sensor remoto.
Para crear un Nuevo Perfil Daemon se realiza lo siguiente:

o Para crearlo se pincha en la pestaa Libraries, en la opcin Snort Daemon
Profiles. Se hace clic en el enlace New Snort Profile.
o Se introduce un nombre, se coloca la interfaz dnde snort actuar como
sniffer, y el path hacia el archivo de configuracin snort.conf donde reside en
el sensor.
o Hay que asegurarse de que se introduce el path correcto al ejecutable de
Snort en los sensores.
o Adems se deben de especificar las opciones de ejecucin de snort.
o Por ltimo se guarda el Profile.
Seguidamente se muestra en la figura 3-26, la ventana para crear el nuevo

Daemon Profile y los valores que se han introducido para su creacin.
Figura 3-26. Snort Daemon Profile
El siguiente paso es Importar las Libreras necesarias para Snort. Para ello, se
siguen los siguientes pasos:
o Se pulsa en la pestaa Libraries, en el enlace Import.
o Se selecciona los elementos que se quieren importar: rules, archivos de
configuracin y archivos de notas de las rules. En este caso se seleccionan
todas las opciones. En la figura 3-27 se muestra el formulario para la
importacin de los recursos.
Figura 3-27. Formulario de Importacin de Recursos
o Se introduce la URL o se selecciona el archivo del cdigo fuente de Snort,

pulsando el botn Examinar. En este caso se pulsa el botn Examinar
y se selecciona el paquete fuente de snort: /root/snort-Version.
o Se pulsa Import.
Esto detectar todas las rules y directivas, y almacenar las libreras

correspondientes. Y se podr ver como se van importando los archivos como se
aprecia en la figura 3-28.
Figura 3-28. Importacin de Ficheros
A continuacin una vez que las libreras fuente estn cargadas, se debe de Crear
un Perfil para las Reglas, ya que no se pueden asignar reglas directamente a los
sensores, slo se pueden asignar rule profiles a cada sensor. Para ello se
realiza lo siguiente:
o En la pestaa Libraries, se selecciona Rules/Rule Profiles.

o Se hace clic en el enlace New Profile, y se introduce un nombre para el
profile y se guarda el nuevo profile.
La figura 3-29, se muestra la ventana para crear un nuevo perfil de reglas:
Figura 3-29. Nuevo Perfil de Reglas
o Se hace clic en el enlace Pick en el profile para ver las distintas libreras
de reglas y asignar las reglas que se deseen para este profile (vase la figura
3-30).
Figura 3-30. Nuevo Perfil de Reglas Asignar reglas

o Se seleccionan las reglas que se deseen pulsando el botn Examinar e

indicando la localizacin del fichero de reglas o tambin se puede introducir
el texto de las reglas y pulsar el botn Import Text, como se muestra en la
figura 3-31.
Figura 3-31. Nuevo Perfil de Reglas Importar Mltiples Reglas
o Seguidamente se puede ver en la figura 3-32, el resultado de la importacin

de las reglas importadas.
Figura 3-32. Reglas Importadas

o Tambin se puede ver el Nuevo Profile con la rule que se acaba de importar
en la figura 3-33.
Figura 3-33. Reglas asignadas al nuevo Profile
A continuacin se deben de Aadir los Sensores (vase la figura 3-34),

siguiendo los siguientes pasos:
o Se hace Clic en la pestaa Sensores en la opcin Administration
Console.
o Clic "Add Sensor".
o Se introduce el nombre del Sensor y se guarda. No se deben incluir
caracteres especiales en el nombre.
Figura 3-34. Nuevo Sensor
o Se hace clic en cada pestaa para ir configurando el resto de las propiedades

del sensor, pulsando Update en cada ventana de propiedades antes de
moverse a la siguiente pestaa.
o Se configura la ventana del Remote Agent como se ve en la figura 3-35,
introduciendo la IP del Agente, el Puerto, el Protocolo (HTTP o HTTPS), as
como el usario para entrar en el Agente y el Password.
Figura 3-35. Nuevo Sensor-Remote Agent
o Se configura la ventana Sensor Config mostrada con la figura 3-36.

Figura 3-36. Nuevo Sensor-Snort Config
o En esta ventana se pueden aadir los preprocesadores, plugin de salida, etc.

Haciendo clic en Pick, al lado de la opcin que se quiera.
o Por ejemplo, si se pretende aadir preprocesadores, se seleccionan los
preprocesadores que se quieran utilizar de la lista, como se observa en la
figura 3-37.
Figura 3-37. Nuevo Sensor-Remote Agent-Aadir Preprocesadores

o En la pestaa Barnyard Config (vese figura 3-38), se indican las

propiedades del sensor Barnyard en caso de que se hubiese configurado. En
este caso lo ponemos deshabilitado.
Figura 3-38. Nuevo Sensor-Barnyard Config
o En la pestaa Sensors mostrada en la figura 3-39, se puede comprobar la

comunicacin entre SnortSMS y los sensores, haciendo clic en Status en
Sensor Administration.
o Se puede verificar la comunicacin del daemon Snort de los sensores
haciendo clic en el enlaceInfo.
Figura 3-39. Nuevo Sensor-Estado delSensor
o Si se tienen mltiples sensores similares, se puede crear uno y clonar el resto

usando el enlace Clone Sensor dentro del Administration Console.
Finalmente slo queda comprobar el funcionamiento de SnortSMS y ver las

alertas que se han generado en cada sensor.
o Para ello en la pestaa Events se pulsa la opcin Browser/Event Home y

se podr ver las opciones para ver los eventos, ver todos los eventos en la
base de datos, el nmero de eventos de cada sensor, as como definir el
tiempo de monitorizacin como se indica en la figura 3-40.
Figura 3-40. Event Browser
o Si se pulsa el enlace View All se podrn ver todas las alertas agrupadas por
el Nombre del Evento, tal y como se observa en la figura 3-41.
Figura 3-41. Event Browse - View All

7.4.4 SnortSnarf
SnortSnarf (http://www.silicondefense.com/) SnortSnarf es un programa escrito en

Perl que toma archivos de log y genera la salida en HTML. SnortSnarf permite
examinar los archivos de alertas de Snort para encontrar posibles problemas. La salida
contiene enlaces a consultas WHOIS y a consultas DNS. Tambin se puede averiguar
qu ataques estn asociados con ciertas direcciones IP.
SnortSnarf viene con otras funciones adems del anlisis de alertas. Estas funciones
adicionales son las siguientes:
Nmap2html. Es una utilidad que retorna el resultado de una exploracin de

nmap en una pgina HTML. Se trata esencialmente de una versin de Nlog que
ha sido modificada para usar con la aplicacin SnortSnarf. Esta utilidad
convierte logs nmap en un formato de archivo flat a una estructura de archivo
html. Hay una pgina para cada direccin IP y una pgina index.
SISR. Es un Sistema de Almacenamiento de Incidentes de SnortSnarf y un

mecanismo de Informes que ayudar a crear un informe para un incidente y
almacenar o enviar el informe por correo electrnico de manera eficiente.
Permite almacenar conjuntos de alertas, crear incidentes con ellas, y enviar
informes por email basados en plantillas.
Estas utilidades requieren de una instalacin y configuracin adicional. A

continuacin se describe la instalacin y configuracin bsica de SnortSnarf para
mostrar las alertas a travs de la interfaz web que es la funcin bsica de SnortSnarf, sin
incluir las utilidades anteriores:
Para instalar SnortSnarf ser necesario realizar los siguientes pasos:
En primer lugar se deben de descargar los mdulos de configuracin de Tiempo

en perl, llamados perl-Time. Para ello se puede ejecutar:
yum install perl-Time-modules
Una vez instalados los mdulos perl de Tiempo, se debe descargar el paquete
SnortSnarf. Se puede ejecutar:
wget http://www.snort.org/dl/contrib/data_analysis/snortsnarf/SnortSnarf-
050314.1.tar.gz
A continuacin se descomprime el paquete:

tar zxvf SnortSnarf-050314.1.tar.gz
Se crea un subdirectorio para snortsnarf y se copian dentro el script en perl de

snortsnarf y la carpeta include:
mkdir /usr/local/snortsnarf
cp SnortSnarf-050314.1/snortsnarf.pl /usr/local/snortsnarf
cp -r SnortSnarf-050314.1/include/ /usr/local/snortsnarf
Una vez copiados los archivos necesarios para la ejecucin de snortsnarf, se

puede eliminar la carpeta SnortSnarf y el archivo tar.gz originales, ejecutando
los siguientes comandos:
rm -rf SnortSnarf-050314.1
rm -f SnortSnarf-050314.1.tar.gz
Se deben de realizar algunas modificaciones en algunos archivos que incluye

SnortSnarf.
o En primer lugar se edita el archivo HTMLMemStorage.pm:
vi /usr/local/snortsnarf/include/SnortSnarf/HTMLMemStorage.pm
y se sustituye la lnea 299 (dentro de la funcin sub list_range) la lnea:
return @arr->[($first-1)..$end];
por:
return @arr[($first-1)..$end];.
Es decir se elimina la flecha ->.
o Lo mismo ocurre en el archivo HTMLAnomMemStorage.pm.

Se edita el archivo:
vi /usr/local/snortsnarf/include/SnortSnarf/HTMLAnomMemStorage.pm
y se realiza el mismo cambio que anteriormente en la lnea 267.
El siguiente paso es crear el subdirectorio web de Snortsnarf localizado dentro

del directorio root de nuestro servidor web. En este caso es el servidor web
Apache y el directorio web es /var/www/html:
mkdir /var/www/html/snortsnarf
A continuacin se ejecuta snortsnarf.
SnortSnarf tiene varios parmetros de ejecucin en lnea de comando. Las

principales opciones de ejecucin se muestran en la tabla 3-2.
Tabla 3-2. Opciones de SnortSnarf

Opcin Significado
-d directory El argumento directory es el path al directorio donde se generarn las
pginas HTML de SnortSnarf.
-homenet network La variable network es la IP o la notacin de red CIDR para nuestra red.
CIDR toma el formato estndar direccin/mscara (tamao de 0 a 32
soportado). De otra forma, se asumen de 1-3 ceros, al final de la
direccin. Si no se proporcionan este argumento, se toma por defecto la
direccin 0.0.0.0
-ldir URL El argumento URL es la URL del directorio bajo el cual los archivos de
log sern almacenados, por lo general es /var/log/snort. Con esta opcin,
SnortSnarf generar muchos enlaces hacia aquellos archivos de log
basados en esta URL. Ej: con-ldir " http: // host.name.here/logs "
conseguimos enlaces como http: // host.name.here/logs/10.0.0.1/UDP-
137-137.
-dns Esto causar la escritura de la consulta del nombre de DNS de
direcciones IP y la mostrar en sus pginas IP.
-rulesfile file La variable file es el archivo base de reglas (por ejemplo, snort.conf) con
el que se ejecuta snort. Si se da esta opcin, las reglas en ese archivo
(incluidos los archivos) generarn firmas que se incluyen en la pgina
junto a las alertas. Adems, las reglas son analizadas para hacer
referencias a los identificadores de ArachNIDS, Bugtraq, etc. para
producir URL.
-rulesdir dir Donde dir es un directorio a usar como el path base para los archivos de
reglas.
-sisr configfile Genera enlaces con el Almacenaje de Incidentes de SnortSnarf (SISR). El
argumento configfile es el path completo al archivo de configuracin
SISR a usar. Este archivo no es analizado por SnortSnarf.pl
-nmapurl URL Donde URL es la Url del directorio URL base en el cual se almacena la
salida html de ejecutar nmap2html.
-nmapdir dir La variabe dir es el directorio en sistema de ficheros en el cual se
almacena la salida nmap2html.
Para ejecutar snortsnarf, se puede ejecutar por ejemplo:

cd /usr/local/snortsnarf
./snortsnarf.pl -d /var/www/html/snortsnarf /var/log/snort/alert
Con la opcin -d se indica el destino y posteriormente se indica el archivo de los

logs de Snort para coger las alertas.
Se puede incluir el comando anterior en un script y programar su ejecucin

automtica en el crontab para que se ejecute cada cierto tiempo.
Para ello, se crea un fichero snortsnarf.sh y se escribe:

cd /usr/local/snortsnarf
./snortsnarf.pl -d /var/www/html/snortsnarf /var/log/snort/
Se edita el crontab (crontab e) y se escribe lo siguiente:

00 * * * * /root/snortsnarf.sh
Para ver el funcionamiento de SnortSnarf, se debe de visitar la pgina web:

http://localhost/snortsnarf/index.html y se podr ver la pgina principal de SnortSnarf,
como se muestra en la figura 3-42.
Figura 3-42. Pgina de Inicio de SnortSnarf

Se puede ver como nos indica que est usando como entrada el SnortFileInput, es
decir el archivo de alertas de snort que se le ha indicado anteriormente.
Y se vern las alertas almacenadas en el fichero de alertas de snort, como se observa

en la figura 3-43.
Figura 3-43. Alertas de SnortSnarf desde fichero
Tambin se puede ejecutar snortsnarf, indicando que coja las alertas desde la base
de datos snort de Mysql.
Para ello, en primer lugar se inicia el servicio de mysql (si no est iniciado ya) y se
ejecuta snortsnarf como sigue:
./snortsnarf.pl snort@localhost -d /var/www/html/snortsnarf
y pedir la introduccin del password.
Finalmente se puede ver el funcionamiento de SnortSnarf (vase figura 3-44) en

http://localhost/snortsnarf/index.html.
Figura 3-44. SnortSnarf desde la BD Snort

En este caso SnortSnarf indica que est cogiendo las alertas desde la base de datos
snort@localhost.
En la figura 3-45 se pueden ver las alertas obtenidas desde la base de datos de Snort:
Figura 3-45. Alertas SnortSnarf desde la BD Snort
8 OSSIM
8.1 Introduccin
A pesar del gran desarrollo tecnolgico producido en los ltimos aos con
herramientas con capacidades como la de los IDS, desde el punto de vista de la
seguridad sigue siendo difcil obtener una informacin de la red, con un grado de
abstraccin que permita una revisin prctica y asumible.
El objetivo del proyecto OSSIM, es mejorar est funcin basndose

principalmente en el concepto de la correlacin.
La correlacin es la posibilidad de obtener una visibilidad de todos los eventos de

los sistemas en un punto y con un mismo formato, y a travs de esta situacin
privilegiada relacionar y procesar la informacin para detectar, monitorizar, priorizar
y organizar el estado de la seguridad de nuestra red.
La idea de correlacin est tambin implcita en el proyecto OSSIM en el sentido

de agregacin e integracin de productos. Ya que OSSIM es una propuesta de cdigo
abierto que incluye un conjunto de productos desarrollados en estos aos en un
Framework general que permite nuevas posibilidades al interrelacionar todas sus
funcionalidades.
8.2 Caractersticas de OSSIM
OSSIM (www.ossim.net) es una distribucin de herramientas open source

integradas para construir una infraestructura de monitorizacin de seguridad.
Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las

capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad
de la organizacin.
El sistema consta de las siguientes Herramientas de Monitorizacin:
Cuadro de Mandos para visibilidad a alto nivel.

Monitores de Riesgo y Comportamiento para la monitorizacin a nivel medio.
Consola Forense y Monitores de Red para el bajo nivel.
As mismo consta de las siguientes Capacidades para aumentar la fiabilidad y

sensibilidad de detectores y monitores:
Correlacin.
Priorizacin.
Valoracin de Riesgos.
Por ltimo est formado por una herramienta de administracin que configura y
organiza los diferentes mdulos tanto externos como propios que integraran OSSIM.
Esta herramienta es el Framework y mediante ella se pueden definir la topologa,
inventar activos, definir una poltica de seguridad, definir las reglas de correlacin y
enlazar las diferentes herramientas integradas.
8.3 Funcionalidad
Para entender qu ofrece OSSIM se define su funcionalidad usando un grfico
simplificado con los niveles que se muestran en la figura 3-46.
A continuacin se describen de forma general las principales funcionalidades de

OSSIM:
Detector de Patrones. Ejemplo de un sistema de deteccin de intrusos (IDS), el

cual es capaz de detectar patrones definidos usando reglas de asignacin.
Detector de Anomalias. Tiene la habilidad de detectar anomalas ms recientes

que los patrones. Este aprende automticamente acorde a las situaciones dadas y
nos puede dar una alerta cuando un comportamiento se desva mucho de lo que
l reconoce como normal.
Centralizacin y Normalizacin. Estos proporcionan una unificacin de

eventos de seguridad para un sistema crtico a travs de una organizacin en un
nico formato o solamente desde una consola.
Asignacin de prioridades. La prioridad de una alerta debe de depender de la

topologa y de los sistemas de organizacin que se hayan determinado.
Por ejemplo: Si una mquina est ejecutando el sistema operativo UNIX con
Apache Web Server y recibe una alerta acerca de un ataque que le corresponde a
Microsoft IIS, la alerta debe de ser despreciada.
Asignacin de riesgos. La importancia de un evento se da dependiendo de los

siguientes tres valores:
o El valor de tener configuraciones con el evento.

o El trato que representa para el evento.
o La probabilidad de que el evento ocurra.
Correlacin. Se define como un algoritmo que ejecuta una operacin de entrada

de datos y retorna una salida de datos. Trabaja recolectando informacin y la
monitoriza de manera parcial, mostrando las reas que realmente nos interesa
dentro de todo el conjunto de informacin.
Monitores. Chequean las siguientes anomalas:
o Monitorizacin de riesgos. Despliega informacin obtenida por el

algoritmo CALM que mide los niveles de riesgos de compromisos y ataques.
o Uso de sesin y control de polticas. Provee informacin como nmero de

bytes transmitidos al da, actividad de los usuarios, y monitoreo de sesiones
en la red.
o Monitor de Paths. Monitoriza los paths usados en la red por diferentes

mquinas. Identificando ataques de varias mquinas (DOS) o identificando
mapeo de puertos o redes por medio de protocolos (TCP, ICMP, UDP).
Consola de Anlisis forense. Proporciona acceso a los datos generados y

guardados por el colector de eventos. Esta consola es un buscador que opera en
la base de datos, permitiendo al administrador analizar posteriormente los
eventos en relacin a elementos crticos de la red de una manera centralizada.
Panel de Control. Permite visualizar una situacin de seguridad de alto nivel.

Monitoriza una serie de indicaciones que manejan el estado de la organizacin
en relacin a la seguridad.
Figura 3-46. Diagrama de funcionalidad
8.4 Arquitectura
El sistema cuenta con dos partes diferenciadas, en las que se desarrollan dos
etapas diferentes del proceso:
Preproceso. Se realizar en los propios monitores y detectores.

Postproceso. Se realizar en una consola centralizada.
En el esquema de la arquitectura de OSSIM, se perciben cada una de las

funcionalidades anteriormente descritas y tambin aparecen tres bases de datos:
Base de datos eventos (EDB). Es la base de datos ms grande pues aloja

todos los eventos individuales recibidos de los detectores.
Base de datos del Framework (KDB). En ella se parametriza el sistema para

que conozca nuestra red y se define nuestra poltica de seguridad.
Base de datos de perfiles (UDB). Almacenar todos los datos aprendidos por
el Monitor de Perfiles.
El esquema general de la arquitectura segn los procesos realizados es el que se

muestra en la figura 3-47.
Figura 3-47. Arquitectura de OSSIM
8.5 Flujo de los datos

Para entender la integracin de cada uno de las herramientas se va a describir el
proceso desde la generacin de un evento. El siguiente grfico de la figura 3-48,
muestra el flujo de los datos del sistema.
Figura 3-48. Flujo de Datos de OSSIM

1. Los eventos son procesados por los detectores hasta que, bien por la
localizacin de un patrn o una anomala, se produce una alerta.
2. Las alertas son procesadas en caso de ser necesario por los consolidadores
antes de ser enviadas. Estos se encargarn de enviar la informacin agrupada
para ocupar el mnimo ancho de banda.
3. Las alertas son recibidas por el colector a travs de diferentes protocolos

abiertos de comunicacin.
4. El parser se encarga de normalizarlas y guardarlas si procede en base de datos

de eventos.
5. El parser se encarga as mismo de cualificarlas determinando su prioridad

segn la poltica de seguridad definida en el framework y los datos sobre el
sistema atacado localizados en el Inventario de Sistemas.
6. El parser valora el riesgo instantneo que implica la alerta y en caso de ser

necesario enva una alarma al Cuadro de Mandos.
7. Las alertas cualificadas son enviadas a cada uno de los procesos de

correlacin que actualizarn sus variables de estado y eventualmente lanzarn
nuevas alertas con una informacin ms completa o fiable. Estas alertas son
enviadas de nuevo al parser para su almacenamiento, priorizacin, valoracin
del riesgo, etc.
8. El monitor de riesgos visualizar peridicamente la situacin de cada uno de

los ndices de riesgo segn han sido calculados por el algoritmo CALM.
9. El cuadro de mandos mostrar las alarmas recientes, actualizar el estado de

cada uno de los ndices los comparar respecto de los umbrales, y lanzar
nuevas alarmas o realizar las acciones correspondientes en caso necesario.
10. El administrador podr desde el cuadro de mandos enlazar y visualizar a

travs de la consola forense todos los eventos ocurridos en el momento de la
alerta. Tambin podr comprobar el estado de la mquina a travs de los
monitores de uso, perfiles, y sesiones.
8.6 Componentes
OSSIM posee los siguientes componentes:
Arpwatch. Usado para deteccin de anomala. Es una herramienta que

supervisa la actividad ethernet y mantiene una base de datos de
emparejamientos de direccin de ethernet/ip.
P0f. Es una herramienta para obtener informacin remota sobre el sistema

operativo y versiones de servidor de una mquina.
PADS. Usado para la deteccin de anomalas.
Nessus. Usado para evaluacin de vulnerabilidad y para correlacin cruzada

(IDS vs Security Scanner).
Snort. IDS, tambin usado para la correlacin cruzada con Nessus.
Spade. Motor de deteccin de anomalas. Usado para tener mayor

conocimiento de los ataques sin firma.
Tcptrack. Se usa para informacin de datos de sesin los cuales pueden

garantizar informacin til para la correlacin de ataques.
Ntop. Construye una base de datos de informacin de red, desde la que se

puede obtener la deteccin de comportamiento anmalo.
Nagios. A partir de la base de datos del host, monitoriza el host y la

informacin disponible del servicio.
Osiris. Es un HIDS. Es un Sistema de Supervisin de Integridad de Host que

peridicamente supervisa a uno o varios anfitriones.
OCS-NG. Solucin de Inventario de Plataforma Cruzada. Es un potente

inventario y sistema de despliegue de paquetes.
OSSEC. Open Source Host-based Intrusion Detection System. Proporciona

integridad, deteccin rootkit, deteccin de registros, alertas en tiempo real,
respuesta activa, etc.
8.7 Instalacin de OSSIM

Las versiones de OSSIM disponibles para su instalacin estn soportadas sobre
sistemas Debian 4.0 y Fedora 3.0. Los paquetes de OSSIM disponibles, as como
informacin referente a la herramienta se puede hallar en la siguiente pgina web:
http://www.ossim.net/download.php
La instalacin de OSSIM que se describe a continuacin se ha realizado sobre

Debian 2.6.18-3-686.
Se puede descargar el instalador de Debian desde www.debian.org. Los paquetes

Debian proporcionados por el equipo de ossim estn compilados en un sistema Debian
etch, por lo que habr que instalar un Debian etch.
8.7.1 Configuracin del APT
Se debe editar el archivo /etc/apt/sources.list para colocar los repositorios de Debian

Etch y OSSIM, como se muestra a continuacin:
Archivo /etc/apt/sources.list
deb http://ftp.debian.org/debian/ etch main contrib non-free
deb http://security.debian.org etch/updates main contrib non-free
deb http://www.ossim.net/download/ debian/
A continuacin se debe de crear un archivo /etc/apt/preferences como este:
Archivo /etc/preferences
Package: *
Pin: release o=ossim
Pin-Priority: 995
As, apt asignar una prioridad mayor a los paquetes OSSIM y sus dependencias.
Tambin se necesitar actualizar apt con el siguiente comando:
apt-get update
En la figura 3-49 se puede ver el resultado de actualizar apt.
Figura 3-49. Salida de Apt-get update
8.7.2 Configuracin de debconf
Para configurar el resto de paquetes que se instalarn ms adelante se necesita la

herramienta debconf. Ya que estos paquetes se basan en debconf para hacer preguntas
de configuracin. Se debe de configurar esta aplicacin para que nos pida el nivel ms
alto de detalle. Para ello, se debe teclear:
dpkg-reconfigure -plow debconf
Y aparecer la pantalla de inicio de configuracin de debconf (vase figura 3-50), y

se pulsa Aceptar.
Figura 3-50. Configuracin de debconf-Inicio
Pedir escoger el nivel de configuracin. Se debe de escoger el nivel bajo como se

indica en la figura 3.51.
Figura 3-51. Configuracin de debconf-Nivel Bajo
Tambin, cuando se necesita reconfigurar cualquier otro paquete, se puede usar:

dpkg-reconfigure p<priority> nombre_paquete.
8.7.3 Instalar la Base de Datos OSSIM
En primer lugar se instala el paquete ossim-mysql:

apt-get install ossim-mysql
A continuacin se muestran las preguntas que realiza el sistema:

1. Contrasea para el usuario root de mysql. Se puede cambiar la contrasea
manualmente:
mysqladmin -u root password your_secret_password
2. Debemos establecer conexiones desde sistemas que ejecutan Sarge? No
Ahora se debe de modificar el archivo /etc/mysql/my.cnf y cambiar la lnea de

bind-address ponindola a *:
bind-address = *
As, mysql aceptar conexiones desde un servidor remoto. OSSIM en ocasiones

necesita hacer una conexin remota a una base de datos. Esto es a menos que se ejecute
todo en un host. Se puede desear cambiar el puerto, pero esto causa problemas ya que
muchos programas de Ossim esperan el puerto estndar y habra que reconfigurar esta
caracterstica. De esta forma si se quiere cambiar el puerto hay que asegurarse de que
se modifica en todos los archivos de configuracin de OSSIM.
A continuacin habr que recargar la base de datos, para que escuche las
conexiones tcp:
/etc/init.d/mysql reload
Seguidamente para crear las BDs para Ossim seguimos los siguientes pasos:
mysql -u root -p
(La contrasea que pide es la que pusimos anteriormente para el mysql)
mysql> create database ossim;
mysql> create database ossim_acl;
mysql> create database snort;
mysql> create database osvdb;
mysql> exit;
Ahora hay que cargar las tablas en las bases de datos:

zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.sql.gz \
/usr/share/doc/ossim-mysql/contrib/ossim_config.sql.gz \
/usr/share/doc/ossim-mysql/contrib/ossim_data.sql.gz | \
mysql -u root ossim p
zcat /usr/share/doc/ossim-mysql/contrib/create_snort_tbls_mysql.sql.gz \
/usr/share/doc/ossim-mysql/contrib/create_acid_tbls_mysql.sql.gz | \
mysql -u root snort p
zcat /usr/share/doc/ossim-mysql/contrib/OSVDB-tables.sql.gz | \
mysql -u root osvdb -p
Las barras \ se usan para decir a Debian que no ejecute aun el comando, que
contina en la siguiente lnea.
Los plugins de OSSIM estn situados en /usr/share/doc/ossim-

mysql/contrib/plugins/. Se deben de realizar los siguientes pasos:
a) Cargar los plugins que se necesiten, por ejemplo:

cd /usr/share/doc/ossim-mysql/contrib/plugins
zcat snort.sql.gz | mysql -u root ossim -p
cat arpwatch.sql p0f.sql pads.sql pam_unix.sql rrd.sql ssh.sql
sudo.sql \
nmap-monitor.sql ossim-monitor.sql | mysql -u root ossim p
b) O instalarlos todos:
cd /usr/share/doc/ossim-mysql/contrib/plugins
zcat *.sql.gz | mysql -u root ossim -p
cat *.sql | mysql -u root ossim -p
8.7.4 Instalar OSSIM Server
Para instalar el Servidor OSSIM se ejecuta:

apt-get install ossim-server
En el proceso de instalacin, se pedirn introducir una serie de datos que se

enumeran a continuacin:
1. Nombre del servidor ossim: localhost (no es importante si slo se tiene un

servidor, si se tienen varios habr que introducir nombres distintos para cada
uno), cmo se indica en la figura 3-52.
Figura 3-52. Configuracin de Ossim-Server- Nombre Servidor
2. Direccin IP donde escuchar el servidor de ossim: 0.0.0.0 En este caso se

escribe la direccin 0.0.0.0 para que escuche en todas las direcciones.
3. Nombre del framework de ossim: ossim (El framework se instalar ms
adelante).
4. Direccin IP del framework: 127.0.0.1 (si se instala el framework en un
servidor diferente, se necesitar poner una direccin IP distinta. En esta
instalacin se instalar en el mismo host).
5. Puerto del framework: se presiona Enter (lo coge por defecto)
6. Nombre de la BD de ossim: ossim .
7. Nombre del host que alberga a la BD: localhost. Se debe de introducir la
direccin IP del host que contiene la base de datos.
8. Nombre del usuario de la BD: root.
9. Contrasea del usuario de la BD: el que se haya puesto al instalar la BD.
10. Nombre de la BD para snort que se va a usar: snort.
11. Nombre del host que alberga la BD de snort: localhost o la IP del host que
contenga la base de datos de snort.
12. Nombre usuario de la BD snort: root (o el nombre que se haya configurado al
conectar a la base de datos de snort).
13. Contrasea del usuario de la BD de snort: la que se haya puesto antes.
14. Nombre de la BD de OSVDB: osvdb.
15. Nombre del host que alberga la BD de osvdb: localhost o la IP del host que
contenga la base de datos de snort.
16. Nombre usuario de la BD osvdb: root (o el nombre que se haya configurado al
conectar a la base de datos de osvdb).
17. Contrasea del usuario de la BD de osvdb: la que se haya puesto antes.
Para cambiar alguna propiedad de la configuracin del servidor, se debe de utilizar

el comando:
dpkg-reconfigure ossim-server.
8.7.5 Instalar el agente de OSSIM
El agente o cliente del servidor, se instalar en cada mquina que vigile una subred
del cliente. Ms adelante veremos como instalar las aplicaciones de seguridad que lo
acompaan. Por defecto, el agente ossim instalar automticamente algunos plugins.
Para instalar el agente se debe ejecutar:

apt-get install ossim-agent
Configurar el agente ossim en /etc/ossim/agent/config.cfg y los plugins en:

/etc/ossim/agent/plugins/*.cfg
En /etc/ossim/agent/config.cfg, se necesitan modificar los siguientes parmetros

para que el agente pueda conectarse al servidor.
Cambiar el valor del sensor a la direccin IP del sensor. Como en este caso, todo
se ejecuta en la misma mquina la direccin del sensor es localhost
(sensor=127.0.0.1). Tambin habr que cambiar la interfaz desde donde
proceden los eventos.
As pues, se debe de editar el fichero config.cfg del agente:

vi /etc/ossim/agent/config.cfg
y modificarlo como se indica:

sensor = 127.0.0.1
interface = eth0 # interface from where the event has come
date_format = %Y-%m-%d %H:%M:%S ; format, not date itself
ossim_dsn=mysql:localhost:ossim:root:yoursecretpassword
Otro aspecto que hay que modificar est situado en la seccin llamada output-
server. Habr que cambiar la direccin IP del servidor:
enable = True
ip = 127.0.0.1
port = 40001
Para acceder a las tablas de mysql desde el sensor, se deben de garantizar los
privilegios a estas mquinas en el servidor mysql en todos los sensores con:
GRANT ALL PRIVILEGES ON *.* TO 'snort_database_user'@sensor_ip
identified by 'mysql_password';
Si se instala el servidor y el agente en diferentes mquinas, se debe de colocar la

misma fecha y hora en las dos mquinas. Se puede usar Ntp.
Para usar ntp se seguiran los siguientes pasos.

apt-get install ntp ntp-server ntp-simple
Las mquinas que pueden hacer consultas al servidor de tiempo deberan ser
solo los agentes (y a veces la BD). Para instalar el cliente en las mquinas que
deseemos se ejecuta:
apt-get install ntpdate
Se edita el fichero /etc/default/ntpdate, asignando un valor al servidor, para

que sepa el cliente donde consultar, escribiendo:
NTPSERVERS=IP_SERVIDOR
Por ltimo se configura el crontab (el gestor de tareas a ejecutar peridicamente)

para que ejecute la consulta cada hora:
00 * * * * root /etc/init.d/ntpdate reload >> /dev/null 2>&1
En este caso no se ha utilizado ntp puesto que el agente y el servidor estn en la

misma mquina.
8.7.6 Instalar OSSIM Framework
Para instalar el Framework de OSSIM, se necesitan una serie de componentes que se

describen a continuacin:
WebServer
Para el funcionamiento de OSSIM se necesita la instalacin y configuracin del

servidor web. As pues, se debe instalar el paquete apache con soporte php. Se puede
usar apache, apache-ssl o apache2. Se debe usar php4, ya que php5 no soporta algunos
paquetes (php-phplot, php-xslt, php-domxml).
Para instalar todos estos paquetes necesarios para el servidor web se puede utilizar
el siguiente comando:
apt-get install apache2 php4 libapache2-mod-php4 php4-mysql
PHPGACL
Para instalar PHPGACL bastar con ejecutar:

apt-get install phpgacl
Durante la instalacin, habr que introducir los datos correspondientes.
1. Configurar la BD para phpgacl con dbconfig-common (vase figura 3-53): Se

pulsa Aceptar.
Figura 3-53. Configuracin dbconfig-common- Configurar bd para phpgacl
2. Guardar las contraseas de administracin de la BD en dbconf: Se pulsa S.

3. Se utilizar este servidor para acceder a BDs remotas? En cliente casi
siempre si. La primera vez que se instala suele ser todo en la misma mquina
por lo que se responder No.
4. Aparecer una ventana de warning (vase figura 3-54) indicando que el path
incluido para php ha cambiado. El paquete ser colocado en el path correcto en
el archivo de configuracin. Aceptar.
Figura 3-54. Configuracin dbconfig-common- Warning path php
5. Pregunta por las Versiones de Apache que se desean configurar

automticamente: Se seleccionan Todas, como se puede ver en la figura 3-55.
Figura 3-55. Configuracin dbconfig-common- Versiones Apache

6. Tipo de BD para phpgacl: Se indica mysql como se muestra en la figura 3-56.
Figura 3-56. Configuracin dbconfig-common- Tipo de bd para phpgacl
7. Mtodo de conexin a la BD mysql de phpgacl: conexin socket. Si se ha

instalado todo en el mismo ordenador, sino conexin tcp.
8. Nombre usuario de administracin de BD: root.
9. Contrasea del usuario de administracin de la BD: la que se haya puesto
antes.
10. Nombre de usuario para phpgacl: root.
11. Contrasea: la que queramos. Recomendable que sea igual que las anteriores.
12. Nombre BD para phpgacl: Se escribe ossim_acl.
13. Versiones de Apache: All.
Hay que permitir nuestra red editando /etc/phpgacl/apache.conf, y

descomentando la linea que pone allow from quitando el # y poner en lugar de la
red, escribir:
allow from all (ya que podemos aadir redes o cambiarlas en el futuro y editar
cada vez el fichero es muy tedioso).
Ya se puede iniciar el servidor web apache:

/etc/init.d/apache2 start
Ossim Framework
Antes de instalar ossim-framework ser necesario instalar algunos paquetes

adicionales de php. En el caso de php4 ser necesario php4-cli:
apt-get install php4-cli
En el caso de php5 harn falta otros paquetes que debian no lleva por defecto como
en el caso de php4:
apt-get install libphp-jpgraph
apt-get install php5-cli
apt-get install php5-gd
apt-get install php5-mysql
Para instalar ossim-framework y todas sus dependencias escribimos:

apt-get install ossim-framework
La instalacin preguntar lo siguiente:

1. Configurar BD acidbase con dbconfig-common. Se responder que S, como

se muestra en la figura 3-57.
Figura 3-57. Configuracin acidbase- Configurar BD con dbconfig-common
2. Tipo BD que se va a utilizar para acidbase: mysql

3. Tipo de conexin con la BD: socket unix si tenemos todo instalado en el
mismo ordenador, sino conexin tcp. Se escoge socket unix tal y como se
puede ver en la figura 3-58.
Figura 3-58. Configuracin acidbase- Mtodo de conexin BD
4. Nombre de usuario de administracin de la BD: root

5. Contrasea del usuario de administracin: La que se quiera, preferiblemente la
misma que las anteriores.
6. Nombre de usuario para acidbase: root (no snort).
7. Contrasea para la aplicacin mysql para acidbase: la misma de antes.
8. Nombre de la BD para acidbase: snort.
9. Versiones de Apache a configurar automticamente: Todas.
10. Configuracin de la base de datos OSSIM (OSSIM-utils). BD a usar con ossim:
ossim.
11. Nombre del servidor de la BD de mysql a usar: localhost.
12. Nombre del usuario de la BD a usar: root.
13. Contrasea: la que se hubiese puesto antes.
14. Nombre de la BD de ossim_acl: ossim_acl.
15. Nombre del host donde est alojada la BD: localhost.
16. Nombre del usuario de administracin de esta BD: root.
17. Contrasea para el usuario: la que se hubiese puesto antes.
18. Versiones de Apache a configurar automticamente: Todas.
Se deben de reconfigurar los paquetes php para habilitar las extensiones php, porque
en debian estn deshabilitadas por defecto. Para php se deber ejecutar:
dpkg-reconfigure php4-cli php4-domxml php4-gd php4-mysql php4-xslt
Ossim Framework Daemon
Para iniciar el daemon ossim-framework, habr que hacerlo como sigue:

/etc/init.d/ossim-framework start
8.7.7 Instalar las Utilidades OSSIM
El paquete ossim-framework depende de las utilidades de Ossim, as que estas

necesitan ser instaladas. Si se quiren instalar en otro host habr que hacerlo as:
apt-get install ossim-utils
Para configurar los parmetros de acceso a la base de datos de algunos scripts, slo
hay que utilizar el comando dpkg-reconfigure como se ha visto antes:
dpkg-reconfigure ossim-utils
8.7.8 Instalar OSSIM contrib (opcional)
El paquete ossim-contrib contiene un conjunto de parches, ejemplos y archivos de

configuracin usados por la distribucin Ossim. Si bien este paquete es slo til para
entornos de desarrollo y en este caso no se va a instalar.
A continuacin se van a ver los plugins de OSSIM:
8.7.9 Instalacin de Plugins
Seguidamente se describen los plugins que se pueden instalar con OSSIM. Si bien
en este caso slo se va a instalar Snort:
Snort
En primer lugar se va a instalar el plugin Snort con soporte para mysql. Para ello se
ejecuta:
apt-get install snort-mysql
Al hacer apt-get install snort-mysql aparecen una serie de preguntas que habr que
responder:
1. Cundo debera de arrancar Snort?: Se contesta la opcin arranque. En la figura

3-59 se pueden ver las tres opciones que aparecen para arrancar Snort: arranque,
conexin y manual.
Figura 3-59. Configuracin de snort-mysql-Arranque de Snort
2. Interfaz en la que escucha Snort: Se contesta any. Aparecer una primera

ventana (vase figura 3-60) indicando que se deben de indicar la interfaz o
interfaces en las que Snort debe escuchar, y se pulsa Aceptar.
Figura 3-60. Configuracin de snort-mysql-Ventana informacin interfaces
Posteriormente se introducen las interfaces correspondientes. En este caso se ha

indicado any, para que escuche en cualquier interfaz.
3. Intervalo de direcciones que monitorizar Snort: any.
4. Deshabilitar modo promiscuo: No. Si se deshabilita el modo promiscuo snort
slo escuchar paquetes que vayan a su interfaz. Si no se deshabilita Snort
comprobar cada paquete que pase por el medio Ethernet, como se puede ver en
la figura 3-61.
Figura 3-61. Configuracin de snort-mysql-Deshabilitar modo promiscuo

5. Cambiar orden reglas: En este caso se ha indicado No

6. Opciones adicionales para Snort: presionar Enter si no se quieren aadir o
introducir las opciones deseadas. En este caso no se aade ninguna.
7. Enviar resumen por email: En este caso se ha indicado No.
8. Configurar una BD a la que snort-mysql envie los registros: Si. En la figura 3-62
se puede ver la informacin mostrada para configurar una base de datos para
snort-mysql.
Figura 3-62. Configuracin de snort-mysql-Configurar BD para snort-mysql
9. Nombre del servidor de la BD que se va a utilizar: usar IP, en este caso se indica
localhost.
10. Nombre BD a utilizar: snort.
11. Usuario: root.
12. Contrasea usuario de la BD: contrasea que se pusiese antes.
13. Mensaje indicando que se arranque snort despus de la creacin de la estructura
de la base de datos.
La estructura de la BD ha sido creada anteriormente por lo que se puede borrar

el fichero /etc/snort/db-pending-config usando:
rm -f /etc/snort/db-pending-config
Se debe editar el fichero /etc/snort/snort.conf teniendo en cuenta que de las

siguientes lneas el smbolo .. implica que puede haber lneas intermedias.
En el fichero snort.conf se deben de realizar los siguientes cambios bsicos:

..
var HOME_NET [192.168.0.0/16]
Se debe de indicar aqu la red donde est snort instalado y la cual se va a
encargar snort de analizar.
var EXTERNAL_NET !$HOME_NET

La red externa
..
include $RULE_PATH/bleeding-all.rules
Descomentar la linea del include quitando el #
..
output database: alert, mysql, user=root password=yourdbpass dbname=snort

host=yourdbhost sensor_name=your_sensor_ip logfile=alert
Indicar la configuracin de la base de datos de snort en mysql para almacenar
las alertas.
..
include spade.ossim.conf
Descomentar si se quiere soporte spade obteniendo el archivo de
configuracin de spade desde ossim source o desde el paquete ossim-contrib.
..
A continuacin se instalarn reglas actualizadas para Snort. Para lo cual se

procede as:
cd /etc/snort/rules/
wget http://www.bleedingsnort.com/bleeding-all.rules
Seguidamente se actualiza la base de datos de Ossim con las reglas del sistema
(hace falta el paquete ossim-utils). Se ejecuta:
/usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules | \ mysql -u root ossim
p
Ahora se inicia el snort con:

/etc/init.d/snort start
Otros plugins
A continuacin se van a comentar otros plugins que se pueden instalar con Ossim,
pero que en esta instalacin no se han utilizado.
Entre los plugins disponibles estn:
NTOP. Una herramienta Unix que muestra el uso de red, similar al comando
top.
Nagios. Nagios es una solucin de monitorizacin para los hosts de las

empresas, servicios y redes lanzadas bajo licencia Open Source.
Osiris. Osiris es un Sistema de Supervisin de Integridad de Host que

peridicamente supervisa a uno o varios anfitriones. Mantiene logs detallados
de cambios en el sistema de ficheros, listas de grupos y usuario, mdulos
kernel, y ms. Est formado por osiris (la aplicacin cliente), osirismd (la
consola de gestin) y osrisd (el agente scan que se ejecuta en cada host
monitorizado).
CheckPoint FireWall-1. FireWall-1 es un software de cortafuegos

desarrollado por las Tecnologas de Software de Punto de Comprobacin Ltd.
Este cortafuegos se ejecuta sobre sistemas Unix (Solaris, AIX, CV-UX),
Linux, Windows NT/2k y IPSO.
Otros. Otros plugins como p0f, arpwatch, pads o tcptrack.

8.7.10 La aplicacin OSSIM
Una vez finalizado el proceso de instalacin de Ossim, se deber de visitar la

interfaz web para finalizar la configuracin y poder acceder a la aplicacin.
Para ello, abrimos un navegador y escribimos: http://localhost/ossim
Aparecer entonces una pantalla (vase figura 3-63) que indica que se debe de
configurar phpGACL. Se hace clic en el botn here.
Figura 3-63. Instalacin de OSSIM-Configurar phpGACL
Seguidamente se puede ver en la figura 3-64, la pantalla de configuracin de la

base de datos phpGACL. Se debe de pulsar el botn Lets get started.
Figura 3-64. Instalacin de OSSIM- phpGACL Database Setup
A continuacin aparece una venta de informacin de los paquetes instalados

como se puede ver en la figura 3-65.
Figura 3-65. Instalacin de OSSIM- Paquetes instalados
La siguiente ventana que aparece muestra un botn para acceder a la interfaz de

administracin, pinchando en here como se puede ver en la figura 3-66.
Figura 3-66. Instalacin de OSSIM- Acceso a Interfaz de Administracin
Pulsando el enlace anterior, aparecer la ventana de administracin de

phpGACL, mostrada en la figura 3-67.
Figura 3-67. Instalacin de OSSIM- Interfaz de Administracin
Una vez concluida la configuracin de phpGACL, ya se puede acceder a OSSIM

para ver las opciones que aparecen. En la primera ventana (vase figura 3-68),
aparece el inicio de OSSIM para acceder mediante un login y un password. La
primera vez que se accede el usuario es admin y el password tambin es admin.
Una vez dentro se puede modificar y aadir otros usuarios.
Figura 3-68. Pantalla de Inicio de OSSIM-Login
Ya se puede ver la consola de OSSIM, con todas las opciones disponibles como
muestra la figura 3-69. En primer lugar aparece una pestalla llamada Upgrade
que es para ver las versiones de todos los paquetes que hay instalados.
Figura 3-69. Pantalla Principal de OSSIM
Entre las pestaas disponibles se encuentra la de Incidentes y Eventos que nos

permiten ver las alertas generadas. A continuacin en la figura 3-70, se pueden
ver los eventos registrados por el Anlisis Forense.
Figura 3-70. Eventos de OSSIM-Anlisis Forense
En la pestaa Monitors mostrada en la figura 3-71, se pueden ver los hosts

que se estn monitorizando.
Figura 3-71. Monitores de OSSIM
En la pestaa Correlation, se pueden ver a la izquierda la lista de directivas y

en el editor se muestran las propiedades, numeracin y los elementos que
componen las directivas, como se puede observar en la figura 3-72.
Figura 3-72. Correlacin-Directivas Ossim
Asimismo si se pincha sobre una directiva se muestra la informacin referente a

la misma: Nombre, Fiabilidad, Ocurrencias, Origen, Puerto, Sensor, Plugin
En la pestaa Configuration, se pueden ver varias opciones MAIN, Users,

Plugins, Incidents Email Templates, Upgrade, etc, tal y como se muestra en la
figura 3-73. En la pestaa Configuration / MAIN se puede consultar las
principales opciones de configuracin y modificarlas. Entre ellas estn: el
Lenguaje, la configuracin del Servidor OSSIM, del Framework, de Snort, de
OSVDB, las mtricas, etc.
Figura 3-73. Opciones Configuracin OSSIM-Main
Si por ejemplo, se pincha en la opcin Configuracin del Framework de Ossim

se puede ver el resultado en la figura 3-74.
Figura 3-74. Opciones Configuracin OSSIM-Main-Ossim Framework
Si salimos del men Main, en Configuration/Users se pueden aadir nuevos

usuarios, tal y como se muestra en la figura 3-75.
Figura 3-75. Opciones Configuracin OSSIM-Users
En Configuration/Plugins, se pueden ver los plugins instalados, as como su tipo

y una descripcin de los mismos (vase figura 3-76).
Figura 3-76. Opciones Configuracin OSSIM-Plugins

En la pestaa Configuration/Incidents Email Template (vase figura 3-77), se

pueden crear templates sobre los incidentes para enviarlos por email.
Figura 3-77. Opciones Configuracin OSSIM-Incidents Email Template
Como se puede observar son muchas las opciones que ofrece OSSIM, ya que es una
consola centralizada para gestionar un gran conjunto de herramientas integradas y que
permiten un fcil manejo de las mismas.
9 Configuracin avanzada de Snort
La configuracin de Snort como se ha indicado anteriormente, se guarda en el

fichero /etc/snort/snort.conf. Los aspectos ms importantes de su configuracin son:
Configuracin de red. Permite indicar las direcciones de nuestra red y el tipo

de servidores y puertos.
Preprocesadores y rules. Permite indicar tanto los preprocesadores como las

firmas (rules) que se van a utilizar. La seleccin de ambos elementos depende de
las caractersticas de nuestra red interna.
Mdulos de salida. Permite indicar la forma y el lugar donde se guardan las

alertas y los correspondientes paquetes de red que las generaron.
Para ver la configuracin de Snort se va a explicar cada uno de los bloques de

configuracin a travs del siguiente ejemplo de red que se muestra en la figura 3-78.
Figura 3-78. Ejemplo de esquema de red
Como se puede observar hay una zona neutra donde se encuentran dos servidores
con funciones distintas y una red interna de ordenadores. Se deber de establecer la
configuracin adecuada de Snort para este entorno de red que se ha propuesto como
ejemplo. A continuacin se describen los principales aspectos de configuracin que se
deben de llevar a cabo para adaptar Snort al esquema propuesto:
Variables de red
Lo primero que hay que hacer es indicarle a snort las direcciones de la red para que
pueda interpretar correctamente los ataques provenientes del exterior. Para ello se utiliza
la variable HOME_NET:
var HOME_NET <direccion_red>
donde <direccion_red> es la direccin de la red local o el nombre de la interfaz de red.

Si existen mltiples redes, se pueden introducir todas separndolas por comas.
Tambin se pueden definir redes externas con la variable EXTERNAL_NET, de la

siguiente forma:
var EXTERNAL NET <direccion_red>
De forma predeterminada las dos variables tienen el valor ANY (cualquiera). Se

recomienda definir la red interna y dejar en ANY la variable externa.
Adems, se puede definir la lista de servidores existentes en la red. Para ello se

definen diferentes variables con el formato:
var TIPO_SERVER <direccion_ip>
Los tipos de servidores que se pueden definir son: DNS_SERVER, SMTP_SERVER,

HTTP_SERVER, SQL_SERVER, TELNET_SERVER y SNMP_SERVER.
Para configurar la red de este ejemplo se escribe:

var HOME_NET 10.0.0.0/24, 192.168.0.0/24
var EXTERNAL_NET any
var DNS_SERVERS 10.0.0.12/32
var SMTP_SERVERS 10.0.0.12/32
var HTTP_SERVERS 10.0.0.11/32, HTTP_SERVERS 10.0.0.12/32
var SQL_SEVERS 10.0.0.11/32
Si en la red estn instalados los servidores en puertos diferentes (por ejemplo, el

servidor web que trabaje en el puerto 8080) entonces se deben definir los puertos de
trabajo utilizando la variable portvar. Por ejemplo, si se desea analizar el trfico de un
servidor web que trabaja en el puerto 8080 entonces se escribir:
portvar HTTP_PORTS 8080
Para configurar los puertos del ejemplo anterior se especificarn de la siguiente

forma:
portvar HTTP_PORTS 80
portvar HTTPS_PORTS 443
portvar FTP_PORTS 21
portvar POP3_PORTS 110
portvar SMTP_PORTS 25
portvar DNS_PORTS 53
portvar SSH_PORTS 22
Preprocesadores
Los preprocesadores son componentes de Snort que se encargan de coger la

informacin que viaja por la red de una manera catica y darle forma para que pueda ser
interpretada. De esta forma una vez que se tienen los datos ordenados que viajan por la
red se aplicarn las rules (reglas) para buscar un determinado ataque.
Las configuraciones predeterminadas para estos subsistemas son muy generales, y

es muy recomendable habilitar slo los procesadores que se necesitan. Por ejemplo, si
se tiene un servidor http, se habilitarn los preprocesadores http_inspect y
http_inspect_server.
Siguiendo con el ejemplo anterior se activarn los siguientes preprocesadores:

Frag3, stream5, sfportscan, rpc_decode, perfomance monitor, http_inspect,
http_inspect_server, ftp/telnet, ssh, dce/rpc y dns.
Configuracin de las reglas
Una vez que Snort ha preprocesado la informacin se aplican las reglas en busca de
un determinado patrn de ataques. Las reglas se guardan en el directorio /etc/snort/rules
y se hacen referencia desde el fichero de configuracin de snort.
Se pueden deshabilitar toda una clase de reglas comentndola en el archivo de

configuracin o se pueden deshabilitar las reglas de forma individual modificando el
fichero de reglas.
Las reglas que se han incluido en el archivo de configuracin de Snort para este
ejemplo, son las siguientes:
include $RULE_PATH/local.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-iis.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/pop3.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/virus.rules
Mdulos de salida
Como ya se ha visto anteriormente, existen varios mdulos de salida que se pueden

utilizar, dependiendo del formato en el que se deseen los datos: Syslog, Database y el
nuevo mdulo denominado Unified, que es un formato binario genrico para exportar
datos a otros programas.
El formato general para configurar los mdulos de salida es:
output module_name: configuration options
Siendo module_name el tipo de salida que se quiere utilizar.
Sin duda alguna el mdulo de salida ms utilizado es el que permite guardar la

informacin de las alertas en una base de datos. Snort admite directamente cuatro tipos
de salida a base de datos: MySQL, PostgreSQL, Oracle y unixODBC.
Por ejemplo, si se desea la conexin a una base de datos MySQL se configurar de

la siguiente forma:
output database: log, mysql, user=snort, password=test dbname=snort
host=localhost [linea 793]
Finalmente se ejecuta snort por ejemplo ejecutando:

snort -l /var/log/snort -c /etc/snort/snort.conf -i eth0
Se obtendr el resultado de la ejecucin que aparece en la figura 3-79.
Figura 3-79. Ejecucin de Snort

9.1 Inicio automtica de los servicios
Es importante que tanto el servidor MySQL, como el servidor Apache y Snort
arranquen como servicios del sistema. Para ello, se puede utilizar el comando service
nombre_servicio start como se indica a continuacin:
service snortd start
service httpd start
Para que se inicien automticamente los servicios mysqld y httpd debe ejecutar el
comando ntsysv y seleccionar los dos servicios para que se ejecuten automticamente.
En la figura 3-80 se muestra la pantalla para automatizar los servicios indicados con
ntsysv.
Figura 3-80. Ventana de configuracin de servicios ntsysv
Para que se incie el servicio snortd de forma automtica debe incluir la siguiente
lnea en el fichero /etc/rc.d/rc.local:
service snortd start
O tambin se puede escribir:

snort -D -l /var/log/snort -c /etc/snort/snort.conf
9.2 Actualizacin automtica (oinkmaster)
Existen muchas formas para actualizar las rules de snort pero la forma ms cmoda
es subscribirse en la pgina web www.snort.org, como se puede ver en la figura 3-81 y
utilizar oinkmaster. Oinkmaster es un programa escrito en Perl, que permite mantener
las reglas de Snort actualizadas descargando su cdigo fuente.
Figura 3-81. Registro en www.snort.org
Para instalar Oinkmaster hay que realizar los siguientes pasos:
En primer lugar se debe descargar el paquete oinkmaskter-2.0.tar.gz de la pgina

http://oinkmaster.sourceforge.net/
Posteriormente se procede a descomprimir el fichero ejecutando:

tar xvfz oinkmaster-2.0.tar.gz
cd oinkmaster-2.0
Se copia el fichero oinkmaster.pl en el directorio /usr/local/bin:

cp oinkmaster.pl /usr/local/bin
Se copia el fichero de configuracin al directorio /etc:

cp oinkmaster.conf /etc
Se copia el fichero de ayuda al directorio /usr/local/man/man1

mkdir /usr/local/man/man1 #Creamos el directorio si no existe
cp oinkmaster.1 /usr/local/man/man1
A continuacin se modifica el fichero de configuracin /etc/oinkmaster.conf para

indicar la url donde se va a descargar las rules de la siguiente forma:
url=http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkmastercode> /snortrules-
snapshot-CURRENT.tar.gz[Lnea 55]
Donde <oinkmastercode> es el cdigo de suscripcin facilitado en la pgina web de

snort.
Finalmente para actualizar las rules de Snort se debe de ejecutar oinkmaster

especificando el directorio donde se encuentran las rules:
oinkmaster.pl o /etc/snort/rules
En la figura 3-82 se puede ver el resultado de actualizar las rules con oinkmaster.
Figura 3-82. Actualizacin de las rules con oinkmaster
Para que se actualicen las rules de forma automtica se debe utilizar el servicio
croad. Para ello se ejecuta el comando crontab e y se escribe:
PATH=/usr/local/bin
0 1 * * * /usr/local/bin/oinkmaster.pl o /etc/snort
La sintaxis de las tareas programadas es:

minuto hora da mes da_de_la_semana tarea
En el ejemplo anterior se realiza la actualiacin a las 1:00h.
9.3 Monitorizacin del sistema (PmGraph)

Otra herramienta fundamental para un IDS/IPS es PMGRAPH. PMGRAPH es un
simple script escrito en Perl, que genera dos pginas html con tablas que muestran el
rendimiento de Snort.
Para utilizar pmgraph es necesario especificar en el archivo de configuracin el

preprocesador pefmonitor. Para ello en el fichero de configuracin de snort
(/etc/snort/snort.conf) modicamos la siguiente lnea:
preprocesor perfmonitor: time 60 file /var/log/snort/perfmon.txt pktcnt 100 [lnea

431]
Donde time 60 indica que genere el fichero cada 60 segundos; file

/var/log/snort/perfmon.txt es el fichero que genera; y pktcnt 100 indica que se ajuste el
nmero de paquetes a procesar antes de que finalice el tiempo especificado, a 100.
En la figura 3-83 se puede ver el contenido del fichero /var/log/snort/perfmon.txt.
Figura 3-83. Resultado Ejecucin less /var/log/snort/snort.stats
El siguiente paso que hay que realizar es descargar el paquete rrdtool de la pgina
web http://oss.oetiker.ch/rrdtool y compilarlo o ejecutar los siguientes comandos:
yum install rrdtool
yum install rrdtool-devel
yum install perl-RRD-Simple
A continuacin se descarga el paquete pmgraph-0.2.tar.gz de la web

http://www.mtsac.edu/~jgau/Download/src/ y se realizan los siguientes pasos:
Se descomprime el fichero ejecutando:

tar xvfz pmgraph-0.2.tar.gz
Se copia el ejecutable al directorio /usr/local/bin:

cd pmgraph-0.2
cp pmgraph.pl /usr/local/bin
Se crea la carpeta donde se va a publicar la pgina web:

mkdir /var/log/perfstats
Se ejecuta pmgraph con el siguiente comando:

pmgraph.pl /var/www/html/perfstats /var/log/snort/snort.stats
Seguidamente se puede ver en la figura 3-84, el resultado de la ejecucin del

comando anterior que generar los archivos html de pmgraph.
Figura 3-84. Resultado de la ejecucin de pmgraph.pl

Y finalmente si se visita la pgina web http://localhost/perfstats/perfstats.tml se

ver el funcionamiento de Pmgraph (vase la figura 3-85).
Figura 3-85. Funcionamiento Pmgraph
Como se desea que la pgina web se actualice automticamente entonces hay que
programar cron para ejecute el comando para genera la pgina web. Como en el fichero
/etc/snort.conf se ha indicado que el fichero /var/log/snort/snort.stats se genere cada 60
segundos entonces hay que ejecutar crontab e y aadir el siguiente comando:
*/1 * * * * /usr/local/bin/pmgraph.pl /var/www/html/rendimiento

/var/log/snort/snort.stats
En la figura 3-86 se puede ver el contenido final del cron.
Figura 3-86. crontab e

9.4 SPADE
Spade (Estndar para Statistical Packet Anomaly Detection Engine) es producido

por Stuart Staniford y James Hoagland de Silicon Defense
(http://www.silicondefense.com/)[BIL]. SPADE es un plugin preprocesador para el
motor de deteccin de Snort. Detecta trfico de red que se desva del comportamiento
normal. Spade est disponible bajo licencia GNU GPL, como un plugin preprocesador
de Snort. Si bien slo est disponible hasta la versin 2.4 de Snort.
SPICE es el Motor de Correlacin de Intrusin y Prueba de Estado (Stealthy

Probing and Intrusion Correlation Engine). Forma parte del proyecto Silicon Defense's
fundado por US DARPA.
Consiste en dos partes: un sensor de anomala (Spade) y un correlador de

eventos. Su funcionamiento bsico consistir en la monitorizacin de red de Spade e
informar de eventos anmalos al correlador. El correlador entonces agrupara estos
eventos juntos y enviar informes de actividad inusual (por ejemplo portscans) incluso
aquellos que han sido difciles de detectar.
9.4.1 Caractersticas
Spade revisar los paquetes recibidos por Snort, encontrar aquellos de inters e
informar de los paquetes que cree que son anmalos con una puntuacin de anomala.
La puntuacin de anomala asignada est basada en el historial de red observado.

Cuanto menos veces ha ocurrido un tipo de paquete en el pasado, ms alta es su
puntuacin.
Los paquetes son clasificados por su campo de ocurrencia. Para hacer esto, se
mantienen tablas de probabilidad que reflejan la ocurrencia de distintos tipos de
paquetes, con su peso ms alto en los eventos ms recientes. A partir de la probabilidad
de ocurrencia se calcula la anomala dando una puntuacin para esta anomala. Esta
puntuacin mide el grado de anomala y facilita la interpretacin.
Para cada sensor, se define un umbral de informe. Para cada evento que excede este
umbral, se enva una alerta al mismo lugar que debe enviarse la alerta de Snort
producida.
Adems para informar de los eventos anmalos, Spade puede tambin ser
configurado para generar informes sobre la red en la cual se est ejecutando. Puede
relatar la cantidad de entropa en los puertos destino y en los de origen o producir
informes peridicos del nmero de paquetes vistos y pedir estticas tales como la
puntuacin de anomala media producida.
Spade no puede decir si un paquete es malo ni hostil, simplemente sabe que

paquetes son relativamente inusuales y tiene una idea de cmo de inusuales son.
Tampoco puede informar de intentos de exploracin de vulnerabilidades CGI en el
servidor web. Esto se realizara si se busca en el contenido del paquete, pero Spade slo
busca en partes de la cabecera del paquete.
Spade tampoco agrupa los eventos de anomalas juntos. Esto lo realiza el correlador
Spice en cuyo caso es mejor manejarlo fuera del sensor IDS. Se podra usar SnortSnarf,
como se ha visto anteriormente para navegar por los informes de anomalas.
9.4.2 Detectores
Un detector es un componente de Spade que busca un tipo particular de anomala

sobre un conjunto de paquetes. Se puede configurar Spade para emplear cualquier
nmero de detectores simultneamente. Estos pueden ser de diferentes tipos (donde la
aproximacin de deteccin es distinta) o del mismo tipo pero aplicado a un conjunto
diferente de paquetes.
Dependiendo del tipo de detector que est siendo aplicado y la configuracin del
usuario, Spade podra esperar un paquete por un corto periodo de tiempo antes de enviar
una alerta. Esto es una forma interesante de reducir los falsos positivos, ya que funciona
como un filtro aplicado al flujo de paquetes.
Si Spade se coloca en un punto de la red donde no ve las respuestas, no aadir

valores y la funcionalidad del subconjunto de Spade que requiere respuestas no estar
disponible en ese punto.
9.4.3 Configuracin de Spade
Se necesita instalar Spade dentro de Snort y posteriormente configurar su archivo de

configuracin e incluirlo en el archivo de configuracin de snort. La sintaxis de este
procesador es la siguiente:
preprocessor spade: { <optionname>=<value> }
En tabla 3-3 que se muestra a continuacin, se pueden ver algunas de las opciones
que se pueden utilizar con Spade.
Un ejemplo de configuracin del preprocesador Spade es:
preprocessor spade-homenet: 192.168.0.0/16 172.17.10.74

preprocessor spade: logfile=/var/log/spade/spade.log
statefile=/var/log/spade/state.rcv cpfreq=25000 dest=alert
Se indica la red especfica con homenet, con logfile se indica que se almacenen las
alertas de log en el archivo spade.log y se le indica un archivo para la tabla de
probabilidad llamado state.rcv. Con cpfreq se indica que se guarde el estado cada
25.000 actualizaciones y con dest=alert se indica que se guarden los mensajes en la
facilidad alert indicada en snort.
Tabla 3-3. Opciones de Spade

Opcin Significado
<homenet> Se puede restringir a Spade para que considere paquetes
destinados a una red en particular o hosts.
<anom-report-thresh> Es el threshold inicial en el cual los paquetes son reportados.
Si un paquete tiene un valor de puntuacin de anomala al
menos el threshold, ser enviado como una alerta.
<state-file> Debido a que Spade mantiene una tabla de probabilidad
basada en el historial, es importante tener un almacenamiento
persistente para esta tabla. Por defecto este archivo es
spade.rcv, si no se especifica ninguno.
<log-file> Indica que Spade escribir los logs en el fichero especificado.
<prob-mode> Hay cuatro modos de probabilidad disponibles en Spade.
Estos modos configuran cmo Spade determina la
probabilidad de un paquete en particular.
<survey-mode> Indica que informar peridicamente sobre las puntuaciones
de anomala producidas en el ltimo intervalo de tiempo.
<Statistics-mode> Cuando se activa este modo, se informa del trfico de red que
realmente est circulando.
En cuanto al rendimiento de Spade depender de muchos factores, incluyendo la

configuracin (especialmente el conjunto de detectores habilitado) y variar desde una
red a otra. Si una red ve mucho y muy diferentes tipos de trfico se ver afectado el uso
de memoria y el de CPU. As pues, se espera que las versiones de Spade siguientes sean
ms estables.
9.5 Frag3
Spade como se ha dicho anteriormente slo est disponible hasta la versin 2.4 de
Snort. En versiones posteriores de Snort, se han incluido los preprocesadores frag2
primero y frag3 despus, para dotar a Snort de la capacidad de deteccin de anomalas.
El preprocesador frag3 es un mdulo de defragmentacin basado en IP para Snort.

Frag3 fue implementado como prototipo de mdulo basado en objetivos. A
continuacin se describe en qu consiste el Anlisis basado en Objetivos.
9.5.1 Anlisis basado en Objetivos
El llamado Anlisis basado en Objetivos (Target-based analysis) es un concepto

relativamente nuevo en la deteccin de intrusos. La idea de un sistema basado en
objetivos, es modelar los actuales objetivos en la red en lugar de simplemente modelar
los protocolos y buscar ataques dentro de ellos. El hecho de que se escriban las pilas de
protocolos IP por distintos sistemas operativos y por distintas personas es un gran
problema para los IDS.
Si un atacante puede determinar qu estilo de defragmentacin IP se est usando en

un objetivo en particular, el atacante puede intentar fragmentar paquetes y utilizar la
informacin sobre los objetivos en la red para evadir al IDS.
Esta es la idea de los "target-based IDS". Para ms informacin, se puede ver el

artculo de Ptacek & Newsham [PTA98].
La idea bsica de los IDS basados en objetivos, es que se le pueda informar al IDS
sobre los hosts en la red de forma que se puedan evitar ataques de evasin Ptacek &
Newsham basados en informacin sobre cmo opera un objetivo individual de la pila
IP.
Vern Paxson y Umesh Shankar hicieron un gran artculo en 2003 [SHA] que detall
el mapeo de hosts en una red y determina cmo sus distintas implementaciones de la
pila IP maneja los tipos de problemas vistos en la defragmentacin IP y en los flujjos
TCP. Se pueden presentar los IDS con informacin de la topologa de red para evitar las
evasiones basadas en TTL y una gran variedad de entradas.
9.5.2 Caractersticas
Frag3 fue implementado como prototipo de mdulo basado en objetivos dentro de

Snort para lograr los propsitos comentados anteriormente.
Frag3 pretende sustituir al mdulo de defragmentacin frag2 y fue diseado con los
siguientes objetivos:
1) Ejecucin ms rpida que frag2 con una gestin menos compleja de los datos.
2) Tcnicas anti-evasin de modelado de host basado en objetivos.
El preprocesador frag2 se ha usado extensamente en rboles de bsqueda binarios

balanceados, para gestionar estructuras de datos asociadas con la defragmentacin de
paquetes. Frag3 usa la estructura de datos sfxhash y listas enlazadas pra mantener datos
internamente que permiten tener un rendimiento predecible y determinista en cualquier
entorno que debera ser de ayuda para mantener entornos fuertemente fragmentados
9.5.3 Configuracin
Frag3 es capaz de detectar ocho tipos diferentes de anomalas. Su salida de eventos

est basada en paquetes y funcionar con todos los modos de salida de Snort. Frag3 se
activa como un preprocesador dentro de Snort y se configura dentro del archivo de
configuracin de Snort.
A continuacin se describe la configuracin de Frag3:
Frag3 tiene al menos dos directivas de preprocesador que son necesarias, una
directiva de configuracin global y una instanciacin del motor de deteccin. Puede
haber un nmero arbitrario de engines definidos al comienzo de su configuracin pero
slo una directiva global. Seguidamente se muestran estas dos directivas de
configuracin:
Configuracin Global
Su sintaxis es:
preprocessor frag3_global: [opciones]
Sus opciones se muestran en la tabla 3-4.
Tabla 3-4. Opciones Configuracin Global

Opcin Significado
max_frags <number> Fragmentos mximos simultneos para rastrear, por defecto
son 8192
memcap <bytes> Memoria para su propia preservacin, por defecto es 4MB.
prealloc_frags <number> Modo de direccin de memoria alterno, emplea nodos de
fragmento preasignados (ms rpido en algunas situaciones)
Configuracin del Engine
La sintasix para la configuracin del motor de deteccin de frag3 es:

Preprocessor frag3_engine: [opciones]
Las opciones disponibles son las que se pueden ver en la tabla 3-5.
Tabla 3-5. Opciones Configuracin Global

Opcin Significado
timeout <seconds> El timeout para fragmentos, los fragmentos con valores
mayores que este perodo en el motor, automticamente
sern descartados. Por defecto es 60 segundos.
ttl_limit <hops> Memoria para su propia preservacin, por defecto es 4MB.
min_ttl <value> TTL mnimo aceptable para un paquete fragmentado. Por
defecto es 1. Con detect_anomalies se descubren anomalas
del fragmento
bind_to <ip_list> Lista de IP donde escuchar el motor. Este motor slo
ejecutar paquetes con direcciones de destino contenidas
dentro de la Lista de IP. El valor por defecto es "all".
policy <type> Selecciona un modo de defragmentacin basado en objetivos.
Tipos disponibles son primero, ltimos, Bsd, Bsd-derecho,
Linux, Windows y Solaris. El tipo por defecto es Bsd.
Seguidamente se muestran algunos ejemplos:
Ejemplo de configuracin Bsico:
preprocessor frag3_global
preprocessor frag3_engine
Ejemplo de configuracin Avanzado:
preprocessor frag3_global: prealloc_nodes 8192

preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24
preprocessor frag3_engine: policy first, bind_to [10.1.47.0/24,172.16.8.0/24]
preprocessor frag3_engine: policy last, detect_anomalies
En el ejemplo avanzado, hay tres motores especificados. En primer lugar se

especifica que son ejecutados en Linux. Seguidamente se indica que la primera poltica
es escuchar en las direcciones IP especificadas por bind_to. Y en la ltima sentencia se
especifica que se aplica al resto de trfico que no unen con las directivas indicadas
anteriormente. As, los paquetes que no caen dentro de las exigencias de las directivas
de los dos primeros motores, automticamente fracasan en la ltima directiva.
Estos mdulos preprocesadores para Snort: Spade y frag3 suponen un complemento

para el IDS, que ayuda a detectar un tipo de trfico que por s solo no es capaz de
detectar. Ofrecen una segunda capa de defensa.
Spade por su parte, es la primera herramienta que demuestra las posibilidades de la

Deteccin de Intrusin Basada en Mtodos Estadsticos, ya que se sirve de la
probabilidad de ocurrencia de la actividad en la red para detectar anomalas. La
principal diferencia con Frag3, es que frag3 utiliza objetivos en la red, es decir
caractersticas distintas a las normales basadas en los protocolos, para detectar dentro de
estos ataques anomalas que de otro modo no se detectaran.
As, pues son dos soluciones que tienen el mismo objetivo: la deteccin de
anomalas pero actan de forma diferente.

Snort Instalacion y Configuracion PDF

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

Snort Instalacion y Configuracion PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Snort Instalacion y Configuracion PDF

Cargado por

Copyright:

Formatos disponibles

CAPTULO 3

1 Esquemas de Red con Snort

Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la

Se puede colocar el IDS de las siguientes formas:

Delante del firewall.

A continuacin se describe cada una de ellas.

1.1 Delante del firewall

1.2 Detrs del firewall

b) IDS colocado tras un switch con un puerto replicador. El switch almacena la

c) IDS colocado en modo bridge. De esta forma se establece una comunicacin

Figura 3-1. Esquemas de colocacin del IDS

En primer lugar se instala la utilidad bridge:

Se establece el puente entre los adaptadores de red (eth0 y ath0):

Se habilitan los adaptadores eth0, ath0 y se configura el adaptador del puente,

Se ejecuta el comando brctl show y se comprueba que el puente se ha

Figura 3-2. Salida brctl show

1.3 Combinacin de los dos casos anteriores

1.4 Firewall / NIDS

1.5 Combinaciones avanzadas

2 Deshabilitar firewall y selinux

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores

Una interfaz para la red protegida (red interna)

Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el

El componente SELINUX puede deshabilitarse durante el proceso de instalacin o

Con objeto de no tener problemas en el proceso de instalacin del sistema, se va a

Posteriormente se guarda la configuracin con:

La forma ms sencilla es instalarlo directamente a travs de un gestor de paquetes

4 Instalacin y compilacin manual

Antes de realizar la instalacin de Snort se deben de instalar las dependencias: gcc-

Para instalar el compilador de forma automtica se debe ejecutar el siguiente

Flex (www.gnu.org/software/flex) es un rpido generador analizador lxico. Es una

Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:

Bison (www.gnu.org/software/bison) es un generador analizador de propsito

Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando:

Libcap es una librera de programacin de paquetes de TCP/IP requerida en la

En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz de Internet:

Se descomprime el paquete ejecutando:

Se compila y se instala ejecutando los comandos:

Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org)

Finalmente se compila y se instala ejecutando los comandos:

Se descarga el paquete snort-2.8.0.1.tar.gz de Internet (www.snort.org)

Se descomprime el paquete ejecutando

Se compila y se instala ejecutando para ello:

Se deben de instalar primero las libreras de MySQL. Para ello se debe de

Finalmente se compila Snort ejecutando el comando:

Se crea el directorio de trabajo de snort:

Se crea el directorio donde se van a guardar las firmas:

Se crea el directorio donde va a guardar el registro de actividad:

Se crea el fichero de configuracin local:

Se copia el ejecutable a su directorio de trabajo:

o Se copia el fichero snort.conf en /etc/snort/ de la siguiente forma:

o Se copia el fichero unicode.map en /etc/snort ejecutando:

o Se copia el script de inicio del servidor:

o Se deben de descargar las firmas de Snort desde www.snort.org y

o Posteriormente se copian los archivos con la extensin .config en el

o Se crea la carpeta donde se van a guardar los preprocesadores ejecutando:

o Finalmente se copian los preprocesadores del directorio de las fuentes a la

El fichero de configuracin (/etc/snort/snort.conf) nos permite configurar el sistema