IPS con Snort en Debian

De WikiSalud
Revisión a fecha de 09:47 13 oct 2016; Alortiz (Discusión | contribuciones)

(dif) ← Revisión anterior | Revisión actual (dif) | Revisión siguiente → (dif)
Saltar a: navegación, buscar
Commons-emblem-Under construction-green
Este artículo está en una fase temprana de desarrollo, por lo que puede estar incompleto o tener aún errores de redacción o formato

Contenido

Resumen

Instalación, configuración y puesta en marcha de un IDS en Debian Wheezy con Snort, complementando su funcionalidad con Barnyard2 y PulledPork.

Introducción

Un IPS es el siguiente paso en las medidas de seguridad a implementar en nuestra red.

Procedimiento

Instalación de software previo

Los siguientes paquetes permiten activar el módulo NFQ a la hora de contruir a DAQ

aptitude install libnfnetlink-dev libnetfilter-queue-dev

Instalación

Esto es lo mismo que la guía IDS con Snort en Debian, si cambio un poco el esquema de aquella creo que puedo ahorarrme un poco de contenido por acá

Configuración

Aseguramos que el snaplen es el máximo permitido, para que así snort sea capaz de leer el paquete entero

config snaplen: 65535
[...]
config policy_mode: inline

config daq: nfq
config daq_mode: inline
config daq_var: queue=0


Un par de líneas permiten hacer tanto

Puesta en marcha

Para integrarlo en nuestras actuales reglas en iptables, hay que tener en cuenta que el uso de NFQUEUE implica una regla como cualquier otra. Si hay coincidencia con ella, iptables deja de evaluar las otras reglas (El comportamiento normal de toda la vida, pues).

La forma más sencilla de ponerlo todo en marcha es:

snort -Q -u snort -g snort  -c /etc/snort/snort.conf

porque todas las demás opciones ya están especificadas en el fichero de configuración

Mi actual solución a este inconveniente ha sido agregar el punto de entrada para snort en la cadena POSTROUTING de la tabla mangle. Algunas cuestiones al respecto de este punto:

  • No necesito cambiar las actuales reglas de forwarding que uso en la tabla FILTER, lo cual dicho sea de paso es la forma más natural de crear reglas de filtrado de tráfico
  • Si bien puede considerarse un poco profundo en el flujo de iptables, acá seremos capaces de filtrar precisamente el tráfico permitido por las reglas en forwarding de FILTER, así snort se comporta como un verdadero filtro a nivel de aplicación.
  • Existen algunos tipos de ataques que serán bloqueados por iptables (Escaneos masivos por ejemplo) que iptables podría bloquear, pero que seremos incapaces de analizar por medio de snort
iptables -t mangle -A POSTROUTING -j NFQUEUE

Fuentes

$IPTABLES -t mangle -A FORWARD -j NFQUEUE --queue-num 1

Esta es una guía viejísima que aporta un panorama general de como debe afrontarse tal configuración

Que viene a confirmar un poco la idea de como debe conjugarse el trabajo de snort y iptables, pero nada, la vida continúa.

Herramientas personales
Espacios de nombres

Variantes
Acciones
Navegación
Herramientas