Un sistema de detección de intrusiones es un programa de detección de accesos no autorizados a un computador o a una red. El IDS suele tener sensores virtuales con los que el núcleo del IDS puede obtener datos externos.
Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL.
Instalaciòn
Primero se accede a la siguiente ruta y se edita el archivo con cualquier editor de texto de preferencia, en este caso yo utilice gedit.
1 | gedit /etc/apt/sources.list |
Y se verifica que el archivo quede editado de la siguiente manera:
Despuès se ejecuta el archivo .sh(scrip ejecutable con todos los requerimientos y comandos para instalar snort) y se verifica que lo ejecutes desde usuario root con el comando:.
1 | sudo su |
Despuès de que se haya ejecutado el ultimo comando del archivo anterior se accede a la siguiente ruta:.
1 | /etc/snort/snort.conf |
A continuaciòn se edita el archivo .conf con cualquier editor de texto.
1 | gedit snort.conf |
y se escribe la siguiente linea yguardas los cambios:.
1 | include /etc/snort/rules/nmap.rules |
Acto sigueinte se accede al archivo nmap.rules
1 | cd rules |
Y aqui es donde comenzaras a crer y editar tus reglas, en este caso yo coloque una regla que detecta ping con NMAP mediante el protocolo icmp:.
1 | alert icmp any any -> any any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000004; rev:1;) |
Se guardan los cambios en el archivo de reglas y por utlimo se ejecuta el siguiente comando para ejecutar snort:.
1 | snort -c /etc/snort/snort.conf -l /var/log/snort/ |
Realizas un escaneo desde otro cmd ejecutando lo siguiente:
1 | nmap -sP 192.168.1.105 --disable-arp-ping |
Y despues de esto se presiona ctrl+c o ctrl+z para detener el escaneo y te coloca en tu cmd anterior y mandas imprimir tu archivo .log que es donde contiene la alerta e informacion, se ejecuta con el siguiente comando.
1 | head /var/log/snort/alert |
E imprime un resultado como el siguiente: