Protegiéndonos de los intrusos: Snort

Holas Foreros:

Una herramienta Open Source y de gran utilidad es Snort, principalmente es un Sistema de Detección de Intrusos pero también puede ser utilizado como un sniffer.

Snort funciona bajo sistemas Linux y Windows. En su web <a href='ir.asp?http://www.snort.org' target='_blank'>http://www.snort.org...</a> podemos encontrar tanto los archivos de instalación como manuales muy útiles y diversos.

Una web interesante donde hablan de Snort como una herramienta de seguridad para analizar y prevenir situaciones en las que los atacantes puedan vulnerar nuestros sistemas es: <a href='ir.asp?http://project.honeynet.org/scans/archive.html' target='_blank'>http://project.honeynet.org/scans/archiv...</a>

Alfon, estás invitado a continuar hablándonos de lo que podemos hacer con Snort.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

Ok. raac. Veo tambíén que Marto y mei Brujo amigo tambiçen están interesados así que adelante. Tengo que terminar algunas cosillas y comenzamos.

La manera de trata esto lo podríamos orientar por niveles, es decir, desde el nivel más básico hasta la propia creación de reglas Snort. Así que comenzaré con la instalación y configuración de un front para Snort que sería el nivel más básico, interpretación de datos, trabajo conjunto con BlackIce. Seguiramos con la interpretación de los datos, distintas configuraciones, entiendiendo las reglas preconfiguradas y sus respuestas por parte del sistema para terminar con la creación de nuestras propias reglas que creo que es lo más interesante.

En fin que esto es una visión muy rápida. Lo que si es sumamente interesante y diría que imprescindible es lo siguiente:

Imposible entender Snort si no sabemos TCP/IP

Mierntras nosp onemos con el temas repasamos entonces cada uno por su cuenta (las dudas la resolvemos aquí);

TCP/IP
TCP
UDP
ICMP
Cabeceras, datagramas, tramas, encapsulados..
Capas TCP/IP
Transmisión de la información
Flags
Tipos de scaneos
etc, etc,

Un saludo,

Bueno voy a empezar con lo que es la instalación del Snort por si no lo instalan en el directorio default y utilizan el IDScenter para configurar los script y parámetros iniciales.

Abran el registry y busquen todo lo que diga \Sourcefire\Snort\ y cambienle la ruta donde quedo instalado.

Saludos.

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

Brujo, yo lo tengo funcionando y no tuve en ningun momento que cambiar nada del registro. Todo lo hice en el IDSCenter.

Un saludo,

Bueno Alfon, las 3 veces que lo instale, me dio ese problema porque lo hice en G: y nada de nada, en una opción del IDScenter que dice overview donde esta snort commandline, no pude cambiarla de ninguna manera por eso lo hice con el registry.

Esa opción busca el snort.exe, no se que hice mal pero a como te dije lo instale 3 veces y por esa razón lo pude ejecutar cuando te pregunte hace como un mes.

Pero es mejor estar prevenido por si ocurre.

Saludos.

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

¡Al menos ya somos tres! - Me parece muy bueno el enfoque y la temática que sugieres.

También estoy pensando seriamente en ir recopilando todos estos mensajes (también los relativos a netcat) para ir armando nuestros propios manuales y posteriormente darles una buena revisada y publicarlos.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

Si raac, me parece una gran idea, adelante. Pena que muchos buenos mensajes se perdieron en la &quot;mudanza&quot; del sitio.

Un saludo,

Gracias Raac por la información , haber cuando me pongo con snort ya que aún estoy viendo cosillas del netcat.

Un saludo a todos

Sigo investigando el tema Snort y necesito saber, entre lo que estan liado con el, que versiones de sistema operativo tienen y que version de Winpcap instalaron ya que detecté algunos problemas con la beta 2.3

Un saludo,

Bueno, yo ya estoy listo para comenzar. Lo tienen ya instalado ?. Comenzamos ?

Ya lo tengo instalado en un W2000 Server pero a que te referis con Winpcap?

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

Para que Snort funcione correctamente es necesario una libreria de DLLs que en su conjunto se llaman Winpcap. Contienen:

Packet.dll
Wpcap.dll
y otro más que no me acuerdo.

Si a tí te funciona es porque esta libreria es necesaria para otros muchos programas como Netcat, Ethercap, Ethereal, etc. que posiblemente tengas instalados.



Un saludo,

Bueno, busque esos DLL y si estan instalados, o sea, voy por buen camino.

Continuemos.

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

Pues venga a configurar IDSCenter y a rular. Si tienes algún problema ya sabes... pero tienes que decirmwe que versión de IDSCenter tienes.

Un saludo,

Versión de IDScenter 1.09Beta.

Ok.

Yo tengo aquí instaladas las versiones 1.09 beta 2 (la última) y la bera 1.3 (la anterior). Tienen bastantes diferencias. Lo dejo así por que weguro que habrá quien tenga anún la versión antigua. Las dos están rulando a la perfección.

Un saludo,

Instalado la version 1.8 de Snort para windows en un W2000 Pro. Todavia me falta crear las reglas, leerme algun manual que hay en la pagina oficial y meterme mas en el programa ya que parece que hay que manejar un monton de cosas.

Un par de dudas, ¿necesita tener instalado un gestor de bases de datos como Mysql para poder funcionar?, ¿y Acid?. Un saludo.

Hola a todos :)

Marto:

No es necesario tener instalado MySQL para poder ejecutar Snort, el tenerlo instalado puede servirte, entre muchas cosas, para tener estadisticas de los intentos de intrusion, crear reportes y con ayuda de PHP, ASP o cualquier otra tecnología acceder a tus reportes via Web, ya sea en tu propia intranet o Internet. Sólo son un par de ideas, hay muchas otras aplicaiones - ¿Qué otras aplicaciones podemos tener con MySQL colaborando con Snort?

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

Como dice el buen raac no hace falta MySQL y tampoco Acid. En principio no queremos ayuda en la interpretación de los logs ya que se trata de aprender a descifrar las alertas en bruto. Que yo sepa MySQl cumple las funciones mencionadas por raac y no se si alguna más, pero eso ahora no me interesa mucho, más adelante veremos porqué.

Antes de continuar me gustaría que siguiérais el hilo de Tipos de escaneo nmap:

http://www.forosdelweb.com/mensaje.asp?id=85584

Entre otras cosas porque ahí veremos algunas cosas sobre teoría TCP, tipos y teoria de escaneo de puertos, identificacion de sistema operativo, etc. que no serán muy válido y casi imprescindible para entender los logs de snort y otros logs basados en el mismo sistema como TCPdump o Windump.

También nos servirá porque trataremos de escanear el host donde esté ubicado snort con nmap y estudiar los resultados. Una vez que veamos los resultados, los interpretemos y entendamos pasamos a la fase activa que será crear nuestras propias reglas.

Crear nuestras propias reglas es lo más interesante porque, por ejemplo, si alguna vez detectamos un nuevo virus que aún nuestro antivirus no contempla, en menos de 30 segudos podremos detectar con snort cualquier intento de infección en nuestros sistemas.

Un saludo,

Se me olvidó decir que esto que ahora está centrado en sistemas windows, es extrapolable a Linux. Aunque IDSCenter es para windows, el empezar con este especie de wizard no sa ayudará a entender y cuando esntendamos usaremos Snort en línea de comando y esto si es totalmente extrapolable a Linux. yo por mi parte tambien miraré algún front Snort para linux ya que cada vez más usuarios de FDW son linuxeros. con nmap no hay problemas en los dos sistemas.

Un saludo,

Y cuando querais y tengais todo listo emepezamos con las reglas para Snort. Entendiendolas y escribiendo nuestras propias &quot;snort rules&quot;.

Yo ya tengo preparado tutorial que me he currao desde el lunes.

Hola a todos!

Continuando con el tema, propongo que antes de entrar a la creación de Reglas para Snort, analicemos y estudiemos algunos logs de ejemplo. Sugiero tomar alguno de los que se encuentran en <a href='ir.asp?http://www.snort.org/packets.html' target='_blank'>http://www.snort.org/packets.html...</a> - seleccionemos el que encontremos más didáctico.

Saludos,

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

A ver. Cuando he dicho que tengo un manual sobre snort no me refiero a algo que he pillado por ahí, un copiar o pegar ni nada por el estilo. Es el resultado de algún tiempo investigando Snort. Este manual está desarrollado desde 0. Y lo he estructurado de tal manera que incluyen teoria y explicaciones, toría TCP/IP, ejemplo de análisis de reglas totalmente comentadas junto con su comentariolo que implmente de TCP, ejercicios propuestos para creación de reglas., etc. etc.

Digo esto para que nos organicemos y si os parece posteo el manual por partes para que nos sirva de Guia y así trabajamos sobre eso. Creo que es mucho mejor que cada. Pero ustedes direis. Si os parce bien hoy mismo empiezo.

Un saludo,

Para que veais un poc como tengo montada la cosa del manual quí os dejo como tengo estructurada lo que sería el cpaitulo I o primera parte.

1. Introducción a reglas Snort. Sintaxis e
interpretación.

1.0 Teoría
1.1 Resúmen gráfico.
1.2 Ejemplo comentado 1
1.3 Ejemplo comentado 2
1.4 Práctica 1
1.4.1 Teoría para el desarrollo de la práctica 1 y comentario TCP/IP
1.5 Práctica 2
1.5.1 Teoría para el desarrollo de la práctica 2 comentario TCP/IP
1.6 Desarrollo de un caso real comentado desde 0.

En la segunda parte:

2. Cabecera de una regla Snort.
...
(seguiriamos con la misma estructura)

Tercera parte (divideda en dos):

3. Opciones y preprocesadores
..
etc, etc.




Un saludo,

Alfon, podrías enviarme ese maluan que has contruido?

Gracias y espero que tu respuesta sea afirmativa.

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

Hola amigo Brujo,

Sólo tengo la primera parte bien construida, el resto son apuntes que voy tomando a medida que avanzo en digamos &quot;mis investigaciones&quot;, estoy muy volcado en esto de Snort porque me interesa mucho.

Mi idea era que sirviera como una guia para que trabajasemos juntos y manejar todo el ambiente Snort casi al 99%. No solo esto, estoy también preparando TCPDump/WinDump y nmap a lo bestia y por último una especie de Biblia del TCP/IP con animaciones, etc que estoy haciendo a ratos.

Resuminedo y para no cansar mucho decir que todo esto era para FDW por eso la técnica era la de apuntes de campo y luego al postear la guia la preparaba y la estructuraba bien.

Pero me doy cuenta que esta manera mia de hacer las cosas no interesa mucho por aquí, así que seguiré el tema por mi parte y cuando tenga todo el manual te lo envio.

Seguiré contestando lo que pueda pero lo de las investigaciones lo dejo definitivamente para mi.



Un saludo,

Alfon:

Te noto algo molesto? enfadado? en tu último mensaje.

En lo personal yo sigo el hilo de esta discusión y muchas en las que participas, a mi SI me interesa seguir con estas investigaciones y participar en lo que puedo.

Saludos y espero seguir leyendo algo de tus investigaciones.

<div align="center"><a href="http://membres.lycos.fr/raac/"><img src="http://membres.lycos.fr/raac/Img/barra_raac.gif" width="400" height="20" border="0"></a></div>

Gracias Alfon, pero yo también creo que SI te molestaste un poco. Tenes razón referente a que tu intensión es como hacer un pequeño laboratorio, aclarar dudas y hacer algo entre varios pero debes de tomar en cuenta algo. Muchos aquí solos pollos, novatos o no conocedores de ciertos temas (Por lo menos en mi caso) me gusta mucho investigar mi intensión era tener una base para enrumbarme y empezar ya que es una herramienta completamente nueva para mi. Te recuerdo que en mi trabajo me dedico a desarrollar y dar mantenimiento a sistemas en MainFrame por lo que lo otro (seguridad, configuración de PC, mantenimiento de equipos, desarrollo de web, etc) lo estoy aprendiendo por cuenta propia. Y la parte de seguridad es tu fuerte ya que por dicha puedes estar metido mucho tiempo.

Es frustrante cuando tratas de explicar algo que para ti es muy obvio y ves que otros no tienen la más mínima idea de lo que estas hablando, eso me ha pasado mucho.

Tranquilo y respira profundo :) rembember &quot;The life is beatifull&quot; &quot;Don't worry be happy&quot;

Saludos amigo.

<p align="center"><embed src="http://www.vzam.com/images/brujonic.swf" quality=high width="214" height="94">

Mmmmm... bueno, si os poneis así...si que estaba un tanto molesto pero bueno, ya paso todo.

Creo que lo mejor será crear un hilo nuevo para ir posteando er manual...por ejemplo.... &quot;Curso de Snort&quot;´, las dudas las podríamos ir viendo aquí para no manchar mucho el hilo y que sea entendible y fácilmente legible.

Que os parece ?

Un saludo,

Hola Alfon, raac y Brujonic. Siento el retraso para postear este mensaje.

En primer lugar agradeceros que me resolvierais la duda que tenia antes. Respecto al estudio de alguno de los logs de snort, me descargué unos cuantos pero mi triste bloc de notas no paraba de mostrarme caracteres extraños. Total que el log era ilegible, por lo menos para mí.

Por cierto Alfon, tu forma de hacer las cosas SI que interesa por aqui, por lo menos a algunas personas que valoramos tu sabiduria y guardamos muchas de tus respuestas porque son mejor que un libro.

Estoy ansioso por empezar con Snort. Un saludo :cantar: .