TALLER de Sistemas de detección de intrusiones.
SNORT
CAPÍTULO II:
-
DESCARGA de IDSCenter
-
CONFIGURACIÓN
-
PUESTA EN MARCHA DE SNORT CON IDScenteR
-
OTRAS OPCIONES de IDSCenter
-
Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT
En este capítulo veremos la instalación de IDSCenter , uno de los front-end (interfaz
gráfico) de Snort más usados en sistemas Windows NT/2000/XP. Es licencia GNU General
Public Licence (GNU89).
DESCARGA de IDSCenter
En el momento en que se escribe este capítulo, la versión es la 109beta2
http://www.packx.net/packx/html/en/idscenter/index-idscenter.htm
http://packetstormsecurity.nl/sniffers/snort/idscenter109beta2.zip
Una vez descargado el archivo, lo descomprimimos, y ejecutamos el setup.exe. Seguimos los pasos normales para
la instalación de cualquier programa de Windows.
Hay que tener en cuneta también que es necesario la instalación de la librería WinPCAP:
http://winpcap.polito.it/.
CONFIGURACIÓN
Una vez instalado el programa, lo ejecutamos y aparecerá en la barra de iconos al lado del reloj:
un icono negro tachado de rojo. Este nuestro icono de IDSCenter. Botón derecho sobre el icono:
y pulsamos sobre Setting, tras lo cual aparecerá el front-end de configuración de
Snort con el panel General > Main configuration:
Aquí comentaremos la configuración de nuestro programa. En este capítulo lo configuraremos desde
IDSCenter con la configuración más básica. Más adelante iremos complicando la
configuración y viendo más opciones.
Desde este panel configuraremos la versión de Snort instalada en nuestro sistema: "Snort
1.8" o "Snort 1.7".
- Snort executable file: localización del ejecutable Snort.exe. Disponemos de un
botón de navegación para su facil localización.
- Log file: ubicación del fichero de texto alert.ids, en el cual se almacenarán los
logs de las alertas, intrusiones, etc a nuestro sistema.
- Log viewer: configura el tipo de salida para nuestros logs generados por Snort. Lo dejaremos de
momento en internal logs viewer, aunque como vemos, podemos usar una salida tipo XML.
De momento esto es todo en este panel.
Vamos ahora al panel IDS rules > Snort config
Aquí le diremos a IDSCenter la ubicación del fichero de configuración de Snort
(snort.conf).
Configuration file (Snort.conf): Ubicación de snort.conf
Aquí no hace falta configurar nada más. Ahora sólo tendremos que pulsar en el
botón "Apply" para cargar snort.conf y nos aparecerá su contenido en la ventana.
Para comprobar que todo va bien y no hay errores de momento nos vamos al panel General > Overview:
En la ventana Configuration errors aparecerán, si se da el caso, los errores de configuración que
hayamos cometido. Más abajo en Snort commandline vemos la línea de comandos que ejecutará Snort.
Este paso de General > Overwiew para ver los errores de configuración lo podemos realizar en cualquier
momento.
Panel Log setting > Logging parameters
Aquí entre otras muchas opciones que veremos en próximos capítulos, podemos seleccionar la interface
de red. Útil para servidores con dos o más interfaces de red. Si hacemos algún cambio debemos pulsar
"Apply".
Si pulsamos "Test setting" aparecerá una ventana DOS donde visualizaremos la
ejecución de Snort en línea de comando para testear que con nuestra configuración no
existe error alguno.
En este caso vemos que tras la carga de Snort.exe con los parámetros de configuración establecidos
en IDSCenter, el sistema no nos devuelve error alguno y se queda el programa activo y en funcionamiento. Una vez
visto esto, podemos cerrar la ventana.
PUESTA EN MARCHA DE SNORT CON IDScenter
Una vez realizados estos pasos ya podemos pulsar "Start Snort" que se encuentra arriba a la izquierda
del panel que tengamos abierto.
Este icono que ahora aparece tachado dejará de estarlo y Snort entrará en funcionamiento como
IDS,.
El panel de configuración ya podemos cerrarlo. Si pulsamos sobre el icono de Snort > botón
derecho del ratón, tendremos un pequeño menú de opciones:
Pulsemos "View alerts" y veremos algo parecido a esto:
Este es el contenido del archivo alerts.ids donde se almacenan los logs de las alertas.
Si pulsamos en el menú anterior "Open logs folder", aparecerá el directorio logs con
carpetas correspondientes a las direcciones IP de las máquinas que hayan sido logeadas por Snort,
conteniendo detalles sobre la intrusión.
Ya tenemos trabajando a Snort como IDS, pero vamos a adelantar ahora algunas otras configuraciones.
OTRAS OPCIONES de IDSCenter
En el panel Alerts > Alert notification
Podemos configurar si queremos algún tipo de sonido (.wav) para las alarmas y el modo en que
funcionarán éstas.
También podemos hacer trabajar conjuntamente Snort con BlackICE para usar las configuraciones de
Autoblock que vienen implementadas en BlackICE. Sólo tendremos que marcar en la casilla
correspondiente e indicar donde esta el archivo de configuración de BlackICE (recordemos que este
cortafuegos software no para la salida al exterior de posibles troyanos, sólo detecta y para los intentos de
entrada, como el "cortafuegos" interno del XP).
En Alerts > Alert Mail podemos configurar Snort para que nos envíe un mensaje vía correo
electrónico.
Siempre que queramos modificar alguna configuración desde IDSCenter, una vez que lo hayamos iniciado,
debemos parar Snort: "Stop Snort" y aplicar los cambios "Apply". Una vez hecho esto ya
podemos otra vez "Start Snort".
Panel IDS rules > Rules/Signatures
En este panel vemos todas las reglas, ya preconfiguradas, que podemos activar/desactivar según nuestras
necesidades. También podemos añadir otros set de reglas que hayamos escrito nosotros mismos.
El resto de configuraciones como Network variables, Preprocesadores, etc lo veremos en el siguiente
capítulo.
Alert.ids: FICHERO DE ALERTA GENERADO POR SNORT
El fichero Alert.ids es el archivo donde se almacenarán las alertas y registros de
paquetes generados por Snort. Tiene un formato ASCII plano, fácilmente editable por cualquier
procesador de textos.
Alert.ids está ubicado en el directorio /log dentro de la carpeta donde se realizó la
instalación, normalmente C:\Snort.
*En este directorio también se almacenarán otros ficheros, como los relacionados a salidas o registros
del preprocesador de scan de puertos o los registros de alertas asociados a la dirección IP que generó la
alerta.
Para mejor comprensión de las alertas generadas por Snort, podemos configurar desde IDSCenter dos
tipos de alertas:
- Set alert mode FAST o Alerta Rápida
- Set alert mode FULL o Alerta Completa
El modo Alerta Rápida nos devolverá información sobre:
tiempo, mensaje de la alerta, clasificación , prioridad de la
alerta, IP y puerto de origen y destino.
El modo de Alerta Completa nos devolverá información sobre: tiempo, mensaje de la alerta,
clasificación, prioridad de la alerta, IP y puerto de origen/destino e información completa de las cabeceras
de los paquetes registrados.
Para configurar estos dos modos:
Panel Log setting > Logging parameters
Marcamos en "Set alert mode (desactivate with Snort MySQL...)" y a continuación entre
Full y Fast. Terminada la operación Aplicamos la regla ("Apply") y
"Start Snort".
Veamos dos ejemplos:
Se trata de dos simples accesos a un servidor proxy ubicado en el puerto 8080 de la máquina destino IP:
192.168.4.15 por parte del host IP: 192.168.4.3 que realiza la conexión mediante el puerto 1382 en el
primer caso y 3159 en el segundo.
Snort clasifica o describe esta alerta como un intento de pérdida de información,
clasificado como prioridad 2.
- 09/19-19:06:37.421286 [**] [1:620:2] SCAN Proxy (8080) attempt [**]
- [Classification: Attempted Information Leak] [Priority: 2] ...
- ... {TCP} 192.168.4.3:1382 -> 192.168.4.15:8080
-
[**] [1:620:2] SCAN Proxy (8080) attempt [**]
[Classification: Attempted Information Leak] [Priority: 2]
09/19-14:53:38.481065 192.168.4.3:3159 -> 192.168.4.15:8080
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
Información de la cabecera del paquete:
TCP TTL:128 TOS:0x0 ID:39918 IpLen:20 DgmLen:48 DF
******S* Seq: 0xE87CBBAD Ack: 0x0 Win: 0x4000 TcpLen: 28
TCP Options (4) => MSS: 1456 NOP NOP SackOK
-Taller IDS-
