Snort es un conocido sistema de prevención y detección de intrusos en la red (IDS) de código abierto. Snort es muy útil para monitorear el paquete enviado y recibido a través de una interfaz de red. Puede especificar la interfaz de red para monitorear el flujo de tráfico. Snort funciona sobre la base de la detección basada en firmas. Snort utiliza diferentes tipos de conjuntos de reglas para detectar intrusiones en la red, como la comunidad. Reglas de registro y suscripción. Snort correctamente instalado y configurado puede ser muy útil para detectar diferentes tipos de ataques y amenazas como sondeos SMB, infecciones de malware, sistemas comprometidos, etc. En este artículo, aprenderemos cómo instalar y configurar Snort en un sistema Ubuntu 20.04.
Reglas de Snort
Snort utiliza conjuntos de reglas para detectar intrusiones en la red, que son las siguientes. Hay tres tipos de conjuntos de reglas disponibles:
Reglas de la comunidad
Estas son las reglas creadas por la comunidad de usuarios de snort y están disponibles sin costo alguno.
Reglas registradas
Estas son las reglas proporcionadas por Talos y solo están disponibles para usuarios registrados. El registro toma solo un momento y es gratuito. Después del registro, obtendrá un código que se necesita para enviar al enviar la solicitud de descarga
Reglas de suscripción
Estas reglas también son las mismas que las reglas registradas, pero se proporcionan a los usuarios registrados antes del lanzamiento. Estos conjuntos de reglas se pagan y el costo se basa en el usuario personal o el usuario comercial.
Instalación de Snort
La instalación de snort en el sistema Linux sería un proceso manual y largo. Hoy en día la instalación es muy sencilla y fácil ya que la mayoría de las distribuciones de Linux han puesto a disposición el paquete Snort en los repositorios. El paquete se puede instalar desde la fuente así como desde los repositorios de software.
Durante la instalación, se le pedirá que proporcione algunos detalles sobre la interfaz de red. Ejecute el siguiente comando y anote los detalles para uso futuro.
$ ip a
Para instalar la herramienta Snort en Ubuntu, use el siguiente comando.
$ sudo apt install snort
En el ejemplo anterior, ens33 es el nombre de la interfaz de red y 192.168.218.128 es la dirección IP. El /24 muestra que la red tiene la máscara de subred 255.255.255.0. Tome nota de estas cosas ya que necesitamos proporcionar estos detalles durante la instalación.
Ahora, presione tab para navegar a la opción ok y presione enter.
Ahora proporcione el nombre de la interfaz de red, navegue hasta la opción Aceptar usando la tecla de tabulación y presione Intro.
Proporcione la dirección de red con la máscara de subred. Navegue a la opción ok usando la tecla tab y presione enter.
Una vez que se complete la instalación, ejecute el comando debajo de verificar.
$ snort --version
Configuración de resoplido
Antes de usar el Snort, hay algunas cosas que hacer en el archivo de configuración. Snort almacena los archivos de configuración en el directorio /etc/snort/ como nombre de archivo snort.conf .
Edite el archivo de configuración con cualquier editor de texto y realice los siguientes cambios.
$ sudo vi /etc/snort/snort.conf
Encuentra la línea ipvar HOME_NET any en el archivo de configuración y reemplace cualquiera con su dirección de red.
En el ejemplo anterior, una dirección de red 192.168.218.0 con máscara de subred prefijo 24 se usa Reemplácelo con su dirección de red y proporcione el prefijo.
Guarde el archivo y salga
Descargar y actualizar las reglas de Snort
Snort utiliza conjuntos de reglas para la detección de intrusos. Hay tres tipos de conjuntos de reglas que hemos descrito anteriormente al comienzo del artículo. En este artículo, descargaremos y actualizaremos las reglas de la comunidad.
Para instalar y actualizar las reglas, cree un directorio para las reglas.
$ mkdir /usr/local/etc/rules
Descarga las reglas de la comunidad usando el siguiente comando.
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
O bien, puede navegar por el enlace a continuación y descargar las reglas.
https://www.snort.org/downloads/#snort-3.0
Extraiga los archivos descargados en el directorio creado anteriormente.
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
Habilitar modo promiscuo
Necesitamos hacer que la interfaz de red de la computadora Snot escuche todo el tráfico. Para que esto suceda, habilite el modo promiscuo. Ejecute el siguiente comando con el nombre de la interfaz.
$ sudo ip link set ens33 promisc on
Donde ens33 es el nombre de la interfaz
Corriendo resoplido
Ahora estamos bien para empezar el Snort. Siga la sintaxis a continuación y sustituya los parámetros según corresponda.
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
donde,
-d se usa para filtrar paquetes de capa de aplicación
-l se usa para configurar el directorio de registro
-h se usa para especificar la red doméstica
-A se usa para enviar la alerta a las ventanas de la consola
-c se usa para especificar la configuración de snort
Una vez que se inicie Snort, obtendrá el siguiente resultado en la terminal.
Puede consultar los archivos de registro para obtener información sobre la detección de intrusos.
Snort funciona sobre la base de conjuntos de reglas. Por lo tanto, mantenga siempre actualizados los conjuntos de reglas. Puede configurar un cronjob para descargar las reglas y actualizarlas periódicamente.
Conclusión
En este tutorial, aprendimos a usar snort como un sistema de prevención de intrusiones en la red en Linux. Además, he cubierto cómo instalar y usar snort en un sistema Ubuntu y usarlo para monitorear el tráfico en tiempo real y detectar amenazas.