SNORT+MYSQL+ACID: Sistema de detección - Redes
Contents
1. LINUCA Asociaci n de Usuarios GNU Linux en Cantabria SNORT MYSOQL ACID Sistema de detecci n de intrusos open source Por Bolo http linuca org todos phtml id_autor 1 creado el lt lt 10 08 2002 16 35 gt gt y modificado por ltima vez el lt lt 10 08 2002 16 35 gt gt Eo En esta ocasi n los avispados linucadictos conoceremos paso a paso la instalaci n y A configuraci n de snort un sistema open source de detecci n de intrusos Configuraremos z snort en debian para que loguee sobre MySQL y as poder usar ACID aplicacion web para el analisis de los logs Snort se autoactualizar y nos enviara informes diarios al buzon de correo Para empezar trataremos las diferentes clases de detectores de intrusos que existen y definiremos esas siglas tan raras que se han puesto ahora tan de moda IDS NIDS HIDS etc 1 IDS Intrusion Detection System a veces llamado HIDS H de Host Los IDS en principio solo capturan alertas ocurridas en el host local donde estan instalados Aunque por extension todos los Sistemas de Intrusion del tipo que sean son tambien llamados IDS 2 NIDS Network Intrusion Detection System Estos sistemas detectan alertas snifando el trafico que pasa por su tarjeta de red Por lo que si son colocados en los lugares correctos p e los firewalls gateways etc nos detectan los ataques producidos a cualquiera de los hosts de nuestra red Los DIDS Distributed Intrusion Detection System son NID2. Salert_password Archive DB connection parameters Sarchive_dbname snort_archive Sarchive_host localhost Sarchive_port Sarchive_user snort_archive Sarchive_password zzzZzZ n r Existen dos usuarios que hay que rellenar los del usuario con acceso a la bd snort y los del de acceso a la snort_archive Esta segunda base de datos ser creada por acid para que el usuario pueda archivar alertas importantes Para crear esta segunda base de datos hacemos tres cuartos de lo mismo de lo que hicimos para crear la base de datos de snort y el usuario mysql uroot p Enter password Welcome to the MySQL monitor Commands end with or g Your MySQL connection id is 22 to server version 3 23 51 1og Type help or h for help Type Xc to clear the buffer mysql gt grant all on snort_archive to snort_archivellocalhost identified by zzzz2z Query OK 0 rows affected 0 05 sec mysql gt flush privileges Query OK 0 rows affected 0 19 sec mysql gt Ya est para comprobar que todo a ido bien lanzamos el navegador y vamos a http localhost acidlab La primera vez que accedeis acid os informar de que tiene que crear algunos indices extra en la base de datos de snort para poder funcionar seguid las instrucciones y al finalizar nos mostrar la consola de analisis de logs de snort Nada mas echarle un vistazo se puede ver la potencia de esta herramienta ya que podemos filtrar y reali
3. generar alertas se encuentra en el directorio etc snort Estas firmas se encuentran en los arichivos con extension rule y el nombre del archivo hace referencia al tipo de alertas que contienen netbios rules exploit rules x11 rules etc El siguiente paso es configurar snort editando su fichero de configuraci n etc snort snort conf El fichero se divide en 4 partes fundamentales 1 Configurarci n de las variables de red para nuestro entorno En esta seccion asignaremos valores a las variables tales como la red que monitorizar snort en busca de ataques HOME_NETD los servidores DNS DNS_SERVERS servidores smtp SMTP_SERVERS etc Se recomienda establecer al menos los servidores DNS que utilizan nuestros equipos sobre todo si teneis una red casera y tirals de dns externos para evitar falsos positivos de portscanning 2 Configurar los preprocesadores A partir de la versi n 1 5 aparecieron los preprocesadores que permiten que las funcionalidades de snort sean extendidas por los usuarios proporcionando un sistema de acceso a los paquetes antes de que sean procesados por el motor de deteccion de snort Para empezar podemos dejar los valores por defecto que vienen Si necesitais mas informaci n en el manual de usuario teneis todos los preprocesadores que vienen con el paquete explicados muy sencilla y resumidamente 3 Configurar los plugins de salida Los plugings de salidad nos permiten elegir de entre un gran variedad de fo
4. S donde los sensores que detectan y recolectan informaci n estan distribuidos en diferentes puntos hosts en la red Snort como no tambien puede actuar como NIDS SNORT Snort es basicamente un sniffer que rastrea los paquetes que circulan por la red en busca de patrones de ataque escaneos de puertos y dem s actividad sospechosa Cuando un paquete casa con alg n patr n establecido en las reglas de configuraci n se logea As sabremos cuando de donde y como se produjo el ataque e INSTALACI N DE SNORT MYSQL ACID Nuestro objetivo va a ser configurar snort para que logee en la base de datos MySQL para despues instalar ACID una aplicaci n web escrita en PHP que nos permitir acceder a toda la informaci n que proporciona snort de manera ordenada y sencilla ACID nos permitir realizar b squedas de todo tipo en la base de datos estas b squedas pueden ser por ip fuente destino por fecha por ataque por protocolo realizar informes graficas etc una autentica gozada Ademas de esta herramienta que nos va a facilitar enormemente el analisis de los logs a mi personalmente me gusta que tambien me envie por mail informes diarios de la actividad registrada para no tener que conectarme al web cada d a y mirar que hay de nuevo Para conseguir esto habilitaremos ademas del logueo a MySQL el logue sobre ficheros ordinarios ya que la mayoria de las herrmientas de reporte autom tico que hay para snort no soportan el acceso a b
5. acidlab chown R www data www data etc acidlab vi etc acidlab acid_conf php lt editar los valores realtivos a los usuarios de acceso a mysql mysql gt grant all on snort_archive to snort_archive localhost identified by zzzzz vi etc snort snort debian conf lt rellenar la variable DEBIAN_SNORT_STATS_RCPT con el correo que recibira los informes diarios wget ftp ftp it su se pub users andreas oinkmaster oinkmaster 0 6 tar gz tar xpvzf oinkmaster 0 6 tar gz mv oinkmaster 0 6 etc snort oinkmaster vi etc crontab lt a adimos la entrada para ejecutar oinkmaster cada noche Ahh se me olvidadba comentar que es muy necesario poner un htaccess en el directorio donde este acid para asi limitar el acceso a este servicio y si en vez de usar apache tiramos de apache ssl mejor que mejor no mola nada si despues de montar todo se nos conectan al acid y nos borran las alertas no En este articulo de bulma teneis un minitutorial de como hacerlo Bueno eso es to eso es to eso es todo amigos xD y no olviden unixizarse y Opensourcizarse Saludos a todos Enlaces Snort http www snort org e ACID http www andrew cmu edu rdanyliw snort snortacid html e Oinkmaster http nitzer dhs org oinkmaster E mail del autor cesar eureka sistemas com Podr s encontrar este art culo e informaci n adicional en http linuca org body phtml nIdNoticia 13
6. ases de datos Bueno ahora que sabemos un poco de que va esto pasamos a la parte pr ctica Para la primera etapa de la instalaci n necesitaremos apt getar esto apt get install mysql server apt get install snort mysql Vale bien ya tenemos instalado la base de datos MySQL y snort con soporte para la misma Ahora configuraremos MySQL creando la base de datos de snort con las tablas necesarias y para finalizar crearemos el usuario para que Snort puede acceder Fijar password de root de MySQL si es una instalaci n limpia y no lo has echo a n mysgqladmin uroot password nueva pass Creamos la nueva base de datos mysqladmin uroot p create snort Existe en el paquete snort mysql un archivo con el volcado de tablas que necesita Snort para loguear gunzip usr share doc snort mysql contrib create_mysql gz mysql uroot p snort lt usr share doc snort mysgql contrib create_mysqgl Ya tenemos las tablas listas ahora creamos el usuario para snort Smysql uroot p Enter password Welcome to the MySQL monitor Commands end with or g Your MySQL connection id is 20 to server version 3 23 51 1og Type help or Yh for help Type Xc to clear the buffer mysal gt grant all on snort to snortflocalhost identified by XXXXXX 5 Query OK 0 rows affected 0 13 sec mysql gt flush privileges Query OK 0 rows affected 0 19 sec Ahora vamos a por Snort Las firmas de ataques que usa snort para
7. cmp info rules include RULE_PATH virus rules Aqui vemos como se han comentado unos cuantos grupos como info policy info backdoors etc BIEN ya tenemos snort configurado y listo para rular Le metemos un etc init d snort restart sin ningun tipo de miedo y con ps aux grep snort miramos a ver si est arriba Si hubiera problemas probad a arrancar snort desde la consola con snort c etc snort snort conf para ver los errores El siguiente paso es meterle cera al ACID Anlisys Console form Intrusion Databases Esta herramienta entra dentro del proyecto AirCert sponsorizado por el CERT Este proyecto desarrolla herramientas de seguridad open source con el nimo de disponer de un entorno de detecci n de intrusios eficiente y de bajo coste Instalar ACID es tan facil como esto tapt get install acidlab fchown R www data www data etc acidlab vi etc acidlab acid_conf php Aqui relleneramos los campo relativos a la base de datos Alert DB connection parameters falert_dbname MySQL database name of Snort alert DB Sfalert_host host on which the DB is stored Sfalert_port port on which to access the DB Salert_user login to the database with this user falert_password password of the DB user A AAA A ACA l This information can be gleaned from the Snort database output plugin configuration E alert_dbname snort Salert_host localhost Salert_port XXXXX Salert_user snort
8. rmatos de salida En el snort conf vienen todas comentadas y con ejemplos Nosotros vamos a configurar dos salidas al fichero var log snort alert y a MySQL simultaneamente A adiremos estas lineas testo nos vuelca las alertas al archivo var log snort alert output alert_full alert testo configura el logeo sobre MySQL output database log mysql user snort password xxxxx dbname snort host localhost 4 Personalizar las reglas Este es el ultimo paso si queremos deshabilitar algun grupo de reglas solo tenemos que comentar el include correspondiente Por ejemplo Include all relevant rulesets here disabled by default These require tuning and maintance shellcode policy info backdoor and virus rulesets are Please read the included specific file for more information RULE_PATH icmp rules RULE_PATH netbios rules include RULE_PATH backdoor rules include RULE_PATH shellcode rules include RULE_PATH policy rules include SRULE_PATH porn rules include RULE_PATH rservices rules include RULE_PATH dos rules include RULE_PATH ddos rules include RULE_PATH web cgi rules include RULE_PATH web coldfusion rules include RULE_PATH web iis rules include RULE_PATH web frontpage rules include RULE_PATH web misc rules include RULE_PATH web attacks rules include RULE_PATH sql rules include RULE_PATH x11 rules include RULE_PATH info rules include RULE_PATH i
9. zar busquedas casi bajo cualquier criterio que se nos ocurra Pues ya hemos terminado podeis probar el chiringuito haciendoos un escaneo de puertos desde otro equipo en la red no desde localhost que ahi snort no escucha o pasaros el nessus Por ultimo decir que el correo del administrador que recibe las informes de alertas diarias se encuentra en la variable DEBIAN_SNORT_STATS_RCPYT del archivo etc snort snort debian conf DEBIAN_SNORT_STATS_RCPT correoftuyo com Para que el snort actualize las firmas de ataques automagicamente yo uso oinkmaster Los descargais y lo descomprimis en etc snort oinkmaster Editamos etc crontab y a adimos esta linea para que la actualizaci n se produzca cada dia a las 2 30 de la madrugada 30 2 cd etc snort oinkmaster oinkmaster pl o etc snort 2 gt amp 1 logger t oinkmaster Bueno para terminar os pongo un resumen receta de los comandos que hemos seguido para poner esto a punto tapt get install mysql server tapt get install snort mysql mysqladmin uroot password nueva pass mysqladmin uroot p create snort gunzip usr share doc snort mysql contrib create_mysql gz mysql uroot p snort lt usr share doc snort mysgql contrib create_mysqgl mysql gt grant all on snort to snort localhost identified by XXXXXX 5 vi etc snort snort conf lt rellanar al menos la variable DNS_SERVERS y a adir las entradas de los output plugins de alert_full y database apt get install
Download Pdf Manuals
Related Search