SISTEMA DE DETECCION DE INTRUSOS

Instalación y configuración de Snort:

Para instalar el programa de detección de intrusos, se debe realizar lo siguiente:

# apt-get install snort // Instalación de snort

Los directorios y archivos que se crean tras la instalación son los siguientes:

/etc/snort --> En este directorio se encuentra el archivo de configuración snort.conf, en el cual se configuran las opciones más generales de snort.

/etc/snort/rules --> Contiene los archivos con las reglas por defecto que vienen preinstaladas en snort.

/var/log/snort --> Contiene las alertas almacenadas en bitácoras. En este directorio se puede encontrar el archivo alert, el cual contiene las alertas generadas por snort.

Luego de tener esto en claro, se procede a editar el archivo de configuración /etc/snort/snort.conf:

# kwrite /etc/snort/snort.conf & // Edita el archivo con kwrite en segundo plano

Se deben editar las siguientes líneas:

- var RULE_PATH /etc/snort/rules
- output database:log,mysql, user=snort \ password=Contraseña_de_BBDD dbname=snort host=localhost

Al realizar esto se especifica el lugar que se debe buscar para usar las reglas de detección, y la salida de las alertas la cual se registran en una base de datos MySQL llamada snort con su respectiva contraseña.

Ya teniendo configurado snort, se procede a iniciar el servicio:

# snort -i etho -c /etc/snort/snort.conf // Se inicia snort y se especifica la interface de entrada.

Instalación y configuración de MySQL:

Para instalar el servidor de base de datos se procede a realizar lo siguiente:

# apt-get install mysql-client-5.0 mysql-server-5.0 // Instalación de mysql



Para iniciar el servidor se ejecuta lo siguiente:

# /etc/init.d/mysqld start

Después de iniciar el servicio se procede a ingresar a la shell de MySQL de la siguiente manera:

# mysql

Luego se procede a crear la base de datos (BBDD) que snort utilizará:

mysql> CREATE DATABASE snort;

Es recomendable asignar una contraseña para entrar al servidor MySQL. Esto se hace de la siguiente manera suponiendo que el usuario de la base de datos es root:

mysql> SET PASSWORD FOR \ root@localhost=PASSWORD(‘Contraseña_de_la_BBDD’);
// Se asigna la contraseña para el ingreso a labase de datos

Luego de esto se le deben asignar los mismos permisos del usuario root al usuario snort para que tenga el acceso a la base de datos. Esto se realiza de la siguiente manera:

mysql> grant all privileges on snort.* to ‘snort’@’localhost’ \ identified by ‘Contraseña_de_la_BBDD’;

// Le asigna permisos de acceso a la BBDD al usuario snort

mysql> exit // Se sale de la shell

Ahora se procede a crear las tablas de la base de datos que snort utilizará para mostrar las alertas:

# cd /usr/src // Se Situa en el directorio donde se va a descargar el codigo fuente de snort

# wget http://www.snort.org/dl/snort-2.8.3.1.tar.gz // Descarga de archivos de Snort

# tar zxvf snort-2.8.3.1.tar.gz // Extrae los archivos

# mysql -u root -p < /usr/src/snort-2.8.3.1/schemas/create_mysql \ snort // Crea las tablas de la base de datos.

Al hacer esto se debe ingresar la contraseña que se creó anteriormente y luego comprobar que la base de datos ya esta preparada. Para realizar esto se ejecuta lo siguiente en la consola de MySQL:

mysql> use snort; // Usa la BBDD llamada snort
mysql> show tables; // Muestra las tablas de la BBDD seleccionada


La salida en la consola de ésta última orden debe ser:





















Instalación y configuración de BASE:

BASE es un sistema de auditoría que nos proporciona una interface web en PHP para ver las alertas generadas por snort. El proceso de descarga e instalación se realiza de la siguiente manera:

# cd /var/www/ // Se sitúa en el directorio donde se van a ubicar los archivos de descarga

# wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz
// Descarga de BASE

# tar zxvf base-1.3.9.tar.gz //Extrae los archivos de BASE

# mv base-1.3.9 base // Copia los archivos a la carpeta base

# rm base-1.3.9.tar.gz // Borra los archivos de descarga

Después de realizar la descarga se procede a editar el archivo de configuración base_conf.php el cual se debe renombrar de la siguiente manera:

# cp /var/www/base/base_conf.php.dist /var/www \ /base/base_conf.php
// Cambia el nombre del archivo de configuración

Luego en este archivo se deben editar las siguientes líneas:

$BASE_urlpath= '/base';
$DBlib_path = '/var/www/base/adodb/';
$alert_dbname = 'snort';
$alert_user = '';
$alert_password = '';



Instalación de ADODB:

ADODB es un intermediario entre BASE y MySQL. Para realizar la instalación se ejecuta lo siguiente:

# cd /var/www/base // Se sitúa en el directorio de descarga

# wget http://kent.dl.sourceforge.net/sourceforge/adodb\/adodb495a.tgz

// Descarga de ADODB

# tar zxvf adodb495a.tgz // Extrae los archivos por defecto una carpeta llamada adodb

# rm adodb495a.tgz // Borra los archivos de descarga



Instalación de PEAR:

PEAR es un FrameWork de PHP que nos permite a través de unos módulos usados por BASE, crear los gráficos de las alertas. La instalación se realiza de la siguiente manera:

# apt-get install php-pear // Instalación de pear
# pear install Image_Color // Instalación del modulo
# pear install Image_Canvas-alpha // Instalación del modulo
# pear install Image_Graph-alpha // Instalación del modulo

Ahora se procede a terminar la configuración vía web de BASE despues de haber iniciado el servidor web. Para ello se accede a la siguiente URL:

http://localhost/base_main.php

Después se ingresa el usuario y la contraseña:

Luego debe aparecer una imagen como esta:

Luego se le da clic en el link “Setup page” y en la siguiente pantalla en el botón “AG”.

Si todo va bien aparece una pantalla indicando que se ha terminado de crear la base de datos que snort utilizará para mostrar las alertas.

La pantalla es la siguiente:

Para acceder remotamente a la interface web de BASE e interactuar con el IDS se utiliza la siguiente sintaxis URL:

http://direccion_IP/base_main.php

donde la dirección IP es la del servidor IDS, aunque si el acceso es local la dirección IP corresponde a la dirección local 127.0.0.1.


Es importante destacar que en el momento de acceder al portal de BASE, se debe confirmar la excepción de seguridad que el navegador web ofrece para poder instalar el certificado de seguridad en éste, y poder así tener acceso al servidor web seguro.

El portal BASE ya configurado se ve de la siguiente manera: