Snort es una herramienta para la prevención y detección de intrusos, que monitoriza el tráfico de red en busca de algún tipo de actividad sospechosa o maliciosa que comprometa la seguridad del sistema informático.

Con millones de descargas hasta la fecha, Snort es posiblemente la tecnología en sistemas de detección de intrusos (IDS) más extendida del planeta, su sistema en la detección y prevención de ataques se ha convertido en el estándar de facto para la industria.

Snort analiza el tráfico de red y busca, en tiempo real, patrones previamente definidos sobre actividad sospechosa o maliciosa conocida, escáner de puertos, vulnerabilidades, exploits, fallos en protocolos, web-cgi, virus, inyección SQL, etc.

Snort es un IDS pasivo ya que una vez detectada una actividad sospechosa la registra y envía una alerta, pero no detiene el ataque, no obstante veremos más adelante, que hay otros programas complementarios que analizan las alertas generadas por snort y pueden responder activamente añadiendo reglas de denegación al firewall.

Para descargar snort diríjase a http://www.snort.org donde podrá encontrar el código fuente o binarios en rpm. Sobre su instalación además del clásico ./configure, make y make install no hay mucho que destacar.

Respecto a la configuración de snort cuyo fichero (snort.conf) normalmente debe estar en /etc/snort, verá que es muy descripcivo, al menos deberá indicar la dirección de red, y los servidores que tenga activos en su LAN como DNS, SMTP, HTTP, SQL, etc.

Para que snort sea efectivo es muy importante actualizar los patrones antes indicados, snort no incorpora ningún procedimiento de actualización y hacerlo manualmente no parece muy funcional, no desespere, la solución está en Oinkmaster, un script en perl muy efectivo, que podrá descargar de http://oinkmaster.sourceforge.net/download.shtml, copie el fichero de configuración oinkmaster.conf a /etc y oinkmaster.pl a /usr/local/bin, edite oinkmaster.conf y añada los repositorios de reglas:

oinkmaster.conf


 snort 2.4
 Para obtener el código oinkcode hay que registrarse previamente
 en www.snort.org 

url = http://www.snort.org/pub-bin/oinkmaster.cgi/snortrules-snapshot-2.4.tar.gz



  Community rules

url =  \

http://www.snort.org/pub-bin/downloads.cgi/Download/ \

comm_rules/Community-Rules-2.4.tar.gz



 Bleeding rules

url = http://www.bleedingsnort.com/bleeding.rules.tar.gz

Cuando se descargan reglas de distintos sitios es necesario saltarse la actualización del fichero sid-msg.map, para ello añada la opción “skipfile sid-msg.map�? a oinkmaster.conf.

Proceda a actualizar las reglas:

Compruebe si devuelve algún error y verifique si en /etc/snort/rules, además de las reglas propias de snort, tiene los ficheros bleeding-loquesea y community-loquesea como p.e. leeding-attack_response.rules o community-dos.rules.

El siguiente paso consiste en indicar a snort que va a utilizar las reglas Bleending y Community, para ello edite snort.conf y añada las nuevas reglas mediante “include �?, p.e.:

Por último, añada oinkmaster.pl al cron para que la actualización de las reglas sea desatendida:

Deberá revisar los correos que reciba puesto que en ocasiones se añaden nuevas reglas que para estén activas necesitará añadirlas a snort.conf tal y como vió anteriormente.

Cuando inicie snort revise los ficheros log para comprobar si se ha iniciado correctamente, las alertas se registran en /var/log/snort/alert.

Blockit analiza las alertas generadas por snort y bloquea el tráfico entrante añadiendo reglas de denegación al firewall. Descargue blockit de http://www.teknofx.com/ descomprima y ejecute el script install.sh, su configuración es muy simple, vea el fichero blockit.conf. Blockit es un script en perl que deberá incluir en los scripts de inicio (blockit start), también podrá listar las direcciones IP bloqueadas, añadir o borrar una dirección IP, parar el servicio, etc.