arso-m7: article snort

Download ARSO-M7: Article Snort

Post on 24-Jul-2015

1.465 views

Category:

Technology

0 download

Embed Size (px)

TRANSCRIPT

  • Ayudantes de Snort PORTADA

    27Nmero 72W W W . L I N U X - M A G A Z I N E . E S

    Snort es viejo en la escala TI,

    incluso anciano. Marty Roesch

    comenz el desarrollo del sniffer

    de red [1] en 1998. Su plan original era

    desarrollar uno que pudiera funcionar

    en diversos sistemas operativos. La ver-

    sin inicial, que data de 1998, contena

    1200 lneas de cdigo, pero de estos

    humildes comienzos surgi uno de los

    motores de IDS de redes ms potentes.

    En 2001, Roesch fund Sourcefire [2],

    una empresa que hoy es sinnimo de

    potentes dispositivos de deteccin de

    intrusiones en redes basados en Snort, y

    que contina desarrollando Snort como

    una forma de corresponder a la comuni-

    dad de cdigo abierto.

    Snort es un motor que analiza y

    estandariza el trfico de red y luego

    comprueba las firmas para identificar

    actividades sospechosas. Snort no pro-

    porciona herramientas para la gestin

    de firmas, ni el almacenamiento de los

    mensajes de los anlisis en una base de

    datos o registros forenses. En el

    pasado, los administradores solan uti-

    lizar herramientas como Oinkmaster

    [3] o BASE [4] para procesar la infor-

    macin de Snort; sin embargo, estos

    proyectos han quedado hurfanos o

    dormidos. Afortunadamente, algunos

    trabajos nuevos han cubierto este

    hueco: Snorby [5], OpenFPC [6] y

    Pulled Pork [7]. Este artculo muestra la

    ltima generacin de proyectos que dan

    soporte a Snort.

    SnifferCon la versin 2.9, los desarrolladores

    de Snort presentaron la nueva DAQ (la

    librera de adquisicin de datos), que

    reemplaza a la clsica libpcap. A partir

    de esta versin, Snort depende de la

    librera DAQ, por lo que no se podr ins-

    talar el sniffer sin ella (vase el cuadro

    titulado DAQ).

    La versin actual de Snort es la

    2.9.0.3. A diferencia de la anterior, los

    desarrolladores simplemente han corre-

    gido algunos fallos. Antes de compilar

    Snort debemos asegurarnos de tener ins-

    taladas en el sistema las libreras DAQ,

    Dnet y PCRE. La Tabla 1 muestra las

    posibles modificaciones del script ./con-

    figure de Snort. Aunque podemos tener

    varias configuraciones de bases de

    datos, lo ms probable es que deseemos

    evitarlas; vamos a mostrar cmo utilizar

    Barnyard [12] como base de datos resi-

    dente.

    El archivo con el cdigo fuente de

    Snort slo proporciona un script de

    comienzo para Red Hat y las distribucio-

    nes basadas en Fedora. Probablemente

    haya que modificar el script para que se

    ajuste a nuestras necesidades de instala-

    cin o incluso que tengamos que escri-

    birnos nuestro propio script. Lo impor-

    tante es recordar que necesitamos ejecu-

    Snorby, Open FPC y Pulled Pork traen de vuelta a Snort

    CARNE FRESCA

    Snort es el estndar de facto para la deteccin de intrusiones en redes

    de cdigo abierto. La comunidad de desarrolladores ha mantenido un

    perfil bajo durante un par de aos, pero las extensiones como Snorby,

    OpenFPC y Pulled Pork le han proporcionado al viejo cerdito un poco

    ms de vida.

    POR RALF SPENNEBERG

    ls

    an

    tilli - 123R

    F.co

    m

  • PORTADA Ayudantes de Snort

    28 Nmero 72 W W W . L I N U X - M A G A Z I N E . E S

    tar Snort por medio de

    /usr/local/bin/snort-c/etc/snort/snort. conf.

    Antes de comenzar a utilizar Snort por

    primera vez, debemos copiar el conte-

    nido del directorio etc que se encuentra

    en el directorio del cdigo fuente a

    /etc/snort/ y crear un directorio

    /var/log/snort. El cuadro titulado

    snort.conf contiene la ayuda necesaria

    para modificar el fichero de

    configuracin snort.conf.

    FirmasEvidentemente, Snort necesita ahora las

    firmas que le proporcionarn el conoci-

    miento para detectar las intrusiones.

    Existen bsicamente tres fuentes de fir-

    mas:

    Las reglas VRT de Sourcefire Vulnera-

    bility Research Team

    Las reglas Emerging Threats

    Las reglas GPL

    Estas reglas han de mantenerse actuali-

    zadas siempre en este artculo utili-

    zaremos ms adelante Pulled Pork para

    las actualizaciones. Si tenemos la

    intencin de utilizar Snort en un

    entorno en produccin, es probable

    que deseemos utilizar las reglas VRT o

    las Emerging Threats. Ambas se

    encuentran disponibles tanto de forma

    gratuita como de pago. Las reglas VRT

    gratuitas se diferencian de las comer-

    ciales porque se publican 30 das des-

    pus que las comerciales, pero permi-

    ten acceder al conjunto completo de

    reglas. La edicin comercial de las

    reglas Emerging Threats incluye reglas

    adicionales que no se suministran en la

    versin gratuita.

    Los siguientes ejemplos utilizan las

    reglas VRT, que se pueden descargar

    como parte de una suscripcin comer-

    cial o bien obtenerlas gratuitamente con

    un retraso de 30 das (tras registrarse).

    Una vez que nos hayamos subscrito o

    registrado, Sourcefire nos proporcionar

    un Oink Code que habr que incluir

    en la peticin de descarga:

    wget http://www.snort.org/reg-rU

    ules/snort rules-snapshot-2903.U

    tar.gz/ -O snortrulesU

    -snapshot-2903.tar.gz

    El conjunto de reglas VRT incluye cuatro

    directorios: etc contiene los ficheros de

    configuracin que necesitan los conjun-

    tos de reglas Snort

    y Barnyard, que

    deberemos copiar

    en el directorio

    /etc/snort. rules,

    que contiene las

    reglas basadas en

    texto para Snort,

    ha de copiarse en

    /etc/snort/rules.

    preproc_rules nos

    da las reglas del

    preprocesador

    slo hay que copiar el directorio en

    /etc/snort/preproc_rules.

    Por ltimo, las reglas binarias para

    Snort se encuentran disponibles en

    so_rules. Necesitamos copiar el subdi-

    rectorio de la distribucin (por ejemplo,

    so_rules/precompiled/Ubuntu-10-4/x86-6

    4/2.9.0.3/*) en /usr/local/lib/ snort_

    dynamicrules y los ficheros *.rules en el

    directorio /etc/snort/so_rules/.

    Sourcefire Vulnerability Research

    Team ofrece algunas reglas slo en for-

    mato binario. Existen dos razones para

    el uso del formato binario: por un

    lado, el lenguaje de reglas de Snort es

    un lenguaje muy potente pero no es

    capaz de identificar paquetes sospe-

    chosos en algunos ataques. Las libre-

    ras binarias mejoran considerable-

    mente la tasa de deteccin. La

    segunda razn es que un tercero

    podra haber descubierto una vulnera-

    bilidad en Sourcefire bajo un acuerdo

    de confidencialidad (NDA). Si el

    equipo de VRT distribuyese la firma en

    texto claro, estaran publicando deta-

    lles sin la autorizacin necesaria.

    Actualizando con PulledPorkLa mayora de los usuarios utilizan

    Oinkmaster para actualizar los conjun-

    tos de reglas. Como los trabajos de

    desarrollo de esta herramienta se

    encuentran dormidos, Pulled Pork admi-

    nistra las tareas en diversos entornos.

    Pulled Pork tambin procesa las reglas

    binarias y organiza los elementos en los

    directorios adecuados. Para la instala-

    cin slo es necesario descargarse el

    paquete desde Google Code. La versin

    actual de Pulled pork (0.5.0) requiere

    01

    02

    03

    04 10.1.2.3

    05

    06

    07 Windows

    08

    09 Windows

    10 Win XP

    11

    12

    13

    14

    15 80

    16

    17

    18 tcp

    19

    20

    21 http

    22

    23

    24

    25

    26

    Listado 1: Una Tabla de Atributos de unHost

    Insta-Snorby est basado en la librera TurnKey Linux Virtual

    Appliance [9], que proporciona mquinas virtuales para diver-

    sos propsitos. Basada en Ubuntu Linux, permite a los adminis-

    tradores probar varias aplicaciones sin tener que instalar nada.

    Insta-Snorby es una imagen ISO; la versin 0.6.0 soporta una

    instalacin sin complicaciones en un dispositivo. Contiene:

    Snort 2.9.0.3

    Barnyard 2.19

    Snorby 2.2.1

    Open FPC

    Pulled Pork

    Para instalarla como un dispositivo virtual, necesitaremos pro-

    porcionarle a Insta-Snorby al menos 512 MB de RAM para evi-

    tar el uso de una memoria de intercambio.

    Insta-Snorby

  • 29Nmero 72W W W . L I N U X - M A G A Z I N E . E S

    BarnyardUna vez que se haya instalado Snort con

    las especificaciones, registrar los men-

    sajes en un fichero binario en formato

    Unified2, que no podremos leer directa-

    mente, de modo que ser necesario utili-

    zar otra herramienta para almacenar los

    datos en una base de datos. La herra-

    mienta perfecta es Barnyard2, que

    adopta el papel del proceso que escribe

    los datos en la base de datos, redu-

    ciendo por tanto la carga del servidor. El

    archivo con el cdigo fuente de Barn-

    yard se encuentra disponible en [12]; su

    instalacin desde el cdigo fuente no

    supone ningn problema.

    Barnyard necesita escribir ficheros en

    el directorio /var/log/snort y escribir el

    contenido del fichero en la base de

    datos. Snort almacena los ficheros en

    este directorio con el patrn

    merged.log.XXXXXXXX, donde

    XXXXXXX es la marca de tiempo que

    Barnyard referencia para ayudar a igno-

    rar los ficheros antiguos. Si no se

    encuentra la marca de tiempo, habr

    que eliminar la opcin nostamp del

    fichero de configuracin para la salida

    del

Recommended

View more >