Instalar y configurar un sistema de detección y prevención de intrusiones no es nada fácil, sobre todo al principio. Uno de los sistemas de detección y prevención de intrusiones más utilizado y conocido es Snort, el cual es un IDS/IPS de código abierto y con una muy buena documentación para su puesta en marcha. Hoy os vamos a enseñar un script llamado Snorter, gracias a este pequeño programa vamos a poder automatizar la instalación de Snort y también software adicional.
Snorter es un script que se va a encargar de instalar y realizar la configuración básica de Snort, y además, se va a encargar de instalar otros programas adicionales para exprimir al máximo el potencial de Snort. En concreto, Snorter instala todo lo siguiente:
- Snort: Es el propio IDS/IPS.
- Barnyard2: Este programa es un intérprete de los archivos de salida binarios unified2 del propio Snort. Esto va a permitirle a Snort escribir en el disco duro de una manera eficiente, y dejando la tarea de parsear los datos binarios a otro proceso. Esto va a permitir a Snort no perder tráfico de red para su posterior análisis.
- PulledPork: esta herramienta se va a encargar de la gestión de las reglas que ejecutará Snort. De manera automática podrá descargarse reglas predefinidas, y que Snort las utilice para protegernos de posibles ataques externos.
- Websnort: es un servicio web donde podremos escanear diferentes archivos pcap (capturas de tráfico de red) con Snort. De esta forma, vamos a poder ver de forma gráfica a través del navegador, todos los detalles de las capturas realizadas.
Compatibilidad con sistemas Linux e instalación
El autor de este script lo ha probado bajo sistemas operativos Linux como Debian 8.5 y Raspbian Jessie, aunque seguramente también funcione en las nuevas versiones de estos sistemas operativos. También lo ha probado con éxito en la distribución Kali Linux.
Para descargar este script, tenemos que meternos directamente en el GitHub oficial de Snorter, o clonar el repositorio para posteriormente ejecutarlo.
git clone <a class="vglnk" href="https://github.com/joanbono/Snorter.git" rel="nofollow"><span>https</span><span>://</span><span>github</span><span>.</span><span>com</span><span>/</span><span>joanbono</span><span>/</span><span>Snorter</span><span>.</span><span>git</span></a> |
Una vez que lo hayamos clonado, tendremos que meternos en la carpeta “scr” con el siguiente comando:
1 |
cd Snorter/src |
A continuación, simplemente tendremos que ejecutar el script en bash. Si queremos ejecutar la ayuda de la propia herramienta para saber qué argumentos podemos introducir, debemos ejecutar lo siguiente:
1 |
bash Snorter.sh -h |
Es recomendable ejecutar este script utilizando “oinkcode”, este código nos va a permitir asociar la instalación de Snort con nuestra cuenta de usuario, es una clave única que tendremos que introducir, a modo de API para descargar las reglas. Si ya tenemos nuestro “oinkcode”, podremos ejecutar Snorter de la siguiente forma:
1 |
bash Snorter.sh -o <oinkcode> -i <interface> |
Cuando lo ejecutemos, nos pedirá la contraseña de administrador del sistema para instalar todo lo necesario. Este script se encargará de instalar la última versión disponible, tanto de Snort como de las herramientas adicionales que hemos explicado anteriormente.
Una vez que hayamos instalado Snort, tendremos que instalar y configurar el resto de herramientas, siguiendo un pequeño asistente que nos guiará paso a paso. Podéis acceder al código fuente, y a la descarga directa de Snorter desde el proyecto en GitHub. Os recomendamos acceder a la documentación de Snorterdonde encontraréis la explicación en detalle de todos los pasos.
Te esperamos en los siguientes artículos en donde hablaremos mas acerca de estos temas, los cuales hoy en día son de vital importancia en el mundo de la tecnología.