Detección de Intrusiones: Snort, Base, MySQL y Apache2 en Ubuntu 7.10 (Gutsy Gibbon) (Actualizado)

Este tutorial se basa en otro howto escrito por DevilMan, sin embargo, no me gustó la idea de compilar manualmente cada paquete o el uso de una GUI para instalar el software. Este howto funcionará en un servidor Gutsy o en un escritorio Gutsy. Dicho esto, parte de este howto es una copia directa del original.

En este tutorial describiré cómo instalar y configurar Snort (un sistema de detección de intrusiones (IDS)) desde el código fuente, BASE (Motor de Análisis y Seguridad Básico), MySQL y Apache2 en Ubuntu 7.10 (Gutsy Gibbon). Snort te ayudará a monitorear tu red y te alertará sobre posibles amenazas. Snort enviará sus archivos de registro a una base de datos MySQL que BASE utilizará para mostrar una interfaz gráfica en un navegador web.

1. Obtener privilegios de root

Es más fácil realizar esta instalación como usuario root.

sudo su -

2. Instalar algunos paquetes

Lo siguiente instalará todos los paquetes requeridos para que esta configuración funcione:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev

3. Obtener y compilar snort

El paquete Snort en los repositorios de Gutsy está desactualizado. Así que preferí descargar la versión más actual e instalarla. Esta es la única cosa que compilaremos desde cero.

La última versión de snort en el momento de escribir esto es 2.8.0.1

Primero, vamos a un directorio de trabajo:

cd /usr/src/

Abre un navegador web y navega a http://www.snort.org/dl, haz clic derecho en la versión más reciente y copia la ubicación del enlace.

a. Descargar snort y reglas de snort

wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz

Hay un par de opciones para las reglas. Lo siguiente descargará las reglas públicas, sin embargo, con un rápido registro en el sitio de snort puedes obtener reglas más actuales. Tu elección, pero el siguiente comando se ejecuta de la misma manera con la URL apropiada:

wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

b. Descomprimir y prepararlas para compilar

tar zxvf snort-2.8.0.1.tar.gz  
cd snort-2.8.0.1  
tar zxvf ../snortrules-pr-2.4.tar.gz

c. Ahora compílalas

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Mantén este directorio a mano ya que puedes simplemente ejecutar

make uninstall

Para desinstalar snort más tarde si lo decides.

d. Mover cosas a su lugar

Ahora necesitamos mover las reglas y la configuración de snort a su lugar.

mkdir /etc/snort /etc/snort/rules /var/log/snort  
cd /usr/src/snort-2.8.0.1/etc  
cp * /etc/snort/  
cd ../rules  
cp * /etc/snort/rules

4. Configurar Snort

Necesitamos modificar el archivo snort.conf para adaptarlo a nuestras necesidades.

Abre /etc/snort/snort.conf con tu editor de texto favorito (nano, vi, vim, etc.).

# vi /etc/snort/snort.conf

Cambia “ var HOME_NET any “ a “ var HOME_NET 192.168.1.0/24 “ (tu red doméstica puede diferir de 192.168.1.0)
Cambia “ var EXTERNAL_NET any “ a “ var EXTERNAL_NET !$HOME_NET “ (esto indica que todo excepto HOME_NET es externo)
Cambia “ var RULE_PATE ../rules “ a “ var RULE_PATH /etc/snort/rules “

Desplázate hacia abajo en la lista hasta la sección con “ # output database: log, mysql, user= “, elimina el “ # “ de delante de esta línea.
Cambia el “ user=root “ a “ user=snort “, cambia el “ password=password “ a “ password=snort_password “, “ dbname=snort “
Toma nota del nombre de usuario, la contraseña y el nombre de la base de datos. Necesitarás esta información cuando configuremos la base de datos Mysql.
Guarda y sal.

Cambia los permisos en el archivo de configuración para mantener las cosas seguras (gracias rojo):

# chmod 600 /etc/snort/snort.conf

5. Configurar la base de datos Mysql.

Inicia sesión en el servidor mysql.

# mysql -u root -p

Crea la base de datos snort. Asegúrate de cambiar ‘snort_password’ por otra cosa.

mysql> create database snort;  
grant all privileges on snort.* to 'snort'@'localhost' identified by 'snort_password'; mysql> exit

Usaremos el esquema snort para el diseño de la base de datos.

# mysql -D snort -u snort -p < /usr/src/snort-2.8.0.1/schemas/create_mysql

NOTA: Usa tu contraseña de usuario de la base de datos snort cuando se te pida.

6. Hora de probar Snort

En la terminal escribe:

# snort -c /etc/snort/snort.conf

Si todo salió bien deberías ver un cerdo ascii.

Para finalizar la prueba presiona ctrl + c.

NOTA: Si obtienes errores, es posible que desees intentar comentar las líneas 97, 98 y 452 de /etc/snort/rules/web-misc.rules. Este fue un problema en el pasado, pero parece que ya no lo es.

7. Obtener e instalar BASE

Abre un navegador web y ve a http://sourceforge.net/project/showfiles.php?group_id=103348.

Haz clic en descargar, luego haz clic derecho en el paquete tar.gz más nuevo y selecciona copiar enlace (en el momento de escribir esto es base-1.3.9).

En la terminal escribe:

cd  
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz

Ahora ve a tu raíz de documentos web (por defecto esto es /var/www), descomprime el tarball y establece los permisos necesarios para configurar BASE:

cd /var/www/  
tar zxvf ~/base-1.3.9.tar.gz  
cd ..  
chmod 757 base-1.3.9

Queremos asegurarnos de que un par de módulos de Pear estén activados:

pear install Image_Color  
pear install Image_Canvas-alpha  
pear install Image_Graph-alpha

8. Configurar BASE

Abre un navegador web y navega a http://YOUR.IP.ADDRESS/base-1.3.9/setup.

Haz clic en continuar en la primera página.

Paso 1 de 5: Ingresa la ruta a ADODB.
Esta es /usr/share/php/adodb.
Paso 2 de 5:
Tipo de base de datos = MySQL, Nombre de la base de datos = snort, Host de la base de datos = localhost, Nombre de usuario de la base de datos = snort, Contraseña de la base de datos = snort_password
Paso 3 de 5: Si deseas usar autenticación, ingresa un nombre de usuario y una contraseña aquí y marca la casilla.
Paso 4 de 5: Haz clic en Crear BASE AG.
Paso 5 de 5: una vez que el paso 4 esté completo, en la parte inferior haz clic en Ahora continúa al paso 5.

Marca esta página.

Cambia los permisos de nuevo en la carpeta /var/www/base-1.3.9.

# chmod 755 /var/www/base-1.3.9

Hemos terminado. ¡Felicidades!!!

Para iniciar Snort en la terminal escribe (asegúrate de cambiar eth0 por la interfaz correcta para tu máquina):

# snort -c /etc/snort/snort.conf -i eth0 -D

Esto inicia snort usando la interfaz eth0 en modo demonio. Puedes agregar esto a tu archivo /etc/rc.local para que se inicie después de un reinicio.

Para asegurarte de que está en funcionamiento, puedes verificar con el siguiente comando:

# ps aux | grep snort

Si está en funcionamiento, verás una entrada similar a snort -c /etc/snort/snort.conf -i eth0 -D.

Si deseas aprender cómo escribir tus propias reglas de Snort, hay una guía en http://www.snort.org/docs/snort_manual/node16.html.
Buena suerte.