Cómo instalar y configurar Snort en Linux en 5 sencillos pasos

Snort es un ligero sistema de detección de intrusos de red gratuito para UNIX y Windows.

En este artículo, repasaremos cómo instalar snort desde el principio, escribir reglas y realizar pruebas básicas.

1. Descargar y extraer Snort

Tienes que descargar la última versión gratuita de snort del sitio web de snort. Luego extrae el código fuente de snort en el directorio /usr/src como se muestra a continuación.

2. Instalar Snort

Antes de instalar snort, asegúrate de tener los paquetes de desarrollo de libpcap y libpcre.

Tienes que seguir los siguientes pasos para instalar snort.

3. Verificar la instalación de Snort

Debes verificar la instalación como se muestra a continuación.

 

4. Crear los archivos y los directorios necesarios.

Debes crear el archivo de configuración, el archivo de reglas y el directorio de registro.

Tienes que crear los siguientes directorios:

Luego se debe crear los siguientes archivos snort.conf e icmp.rules:

La regla básica anterior alerta cuando hay un paquete ICMP (ping).

La siguiente es la estructura de la alerta:

Tabla: estructura de reglas y ejemplo

Estructura Ejemplo
Rule Actions alert
Protocol icmp
Source IP Address any
Source Port any
Direction Operator ->
Destination IP Address any
Destination Port any
(rule options) (msg:”ICMP Packet”; sid:477; rev:3;)

5. Ejecutar Snort

Ejecuta snort desde la línea de comandos, como se ve a continuación.

Ahora intenta hacer ping a alguna IP de tu máquina, para verificar nuestra regla de ping. El siguiente es el ejemplo de una alerta de Snort para esta regla ICMP.

Explicación de alertas
Se agregan un par de líneas para cada alerta, que incluye lo siguiente:

  • El mensaje se imprime en la primera línea.
  • IP de origen
  • IP de destino
  • Tipo de paquete e información del encabezado.

Si tienes una interfaz diferente para la conexión de red, usa la opción -dev -i. En este ejemplo, mi interfaz de red es ppp0.

Ejecutar Snort como Demonio

Agrega la opción -D para ejecutar snort como demonio.

Información adicional de Snort

  • El archivo de configuración predeterminado estará disponible en snort-2.8.6.1/etc/snort.conf
  • Las reglas predeterminadas se pueden descargar desde: http://www.snort.org/snort-rules