18.4.08

Snort: configuración básica para la detección de intrusos

Snort es una herramienta muy conocida por el administrador de sistemas y utilizada por defecto en la práctica totalidad de distribuciones Linux orientadas a trabajar como encaminadores (SmoothWall, IpCop, Untangle...)

Los usos y posibilidades de esta herramienta son realmente variados aunque lo más común es utilizarlo como "packet logger" o sniffer, con volcado a texto plano o bbdd MySQL/PostgreSQL.

Algunos de sus usos básicos son:

# snort -v (-vd)

Funciona como un sniffer realizando un volcado por pantalla de todo el tráfico (la opción -vd muestra más información).

# snort -l ruta_fichero_log -d

Ejecuta snort y guardar el log en la ruta indicada en el formato predeterminado (binario). Para visualizar este fichero se utiliza la opción -r

# snort -r ruta_fichero_log

Para una configuración inicial con reglas de detección básicas, se pueden descargar las establecidas por la comunidad desde el site oficial de la aplicación: http://www.snort.org/pub-bin/downloads.cgi, en formato comprimido tar.gz.

Para habilitar estas reglas se copiarán (descomprimidas) al directorio de configuración de snort (/etc/snort/rules/) y editaremos el fichero de configuración del programa asegurándonos de que son visibles:

# vi /etc/snort/snort.conf

...
var RULE_PATH rules
include $RULE_PATH/sql.rules
include $RULE_PATH/tcp.rules
...


Ahora nos queda cargar la nueva configuración:

# snort -c /etc/snort/snort.conf