Instalación y puesta en marcha de Snort en Kali Linux (Sistema IDS de código abierto) 2024
PROCESO INSTALACION
Eliminamos la lista de paquetes de instalación de los servidores de Ubuntu que pueda haber previamente (Se puede eliminar de forma segura el contenido de ese directorio a medida que se recrea cuando actualiza las listas de paquetes)
find /var/lib/apt/lists -type f -exec rm {} \;
___________________________________________
Cambiamos el contenido del archivo sources.list
sudo nano /etc/apt/sources.list
#COPIAMOS EL SIGUIENTE CONTENIDO
deb http.kali.org/kali kali-rolling main contrib non-free
deb http.kali.org/kali kali-last-snapshot main non-free contrib
deb archive.ubuntu.... focal main restricted universe multiverse
deb-src archive.ubuntu.... focal main restricted universe multiverse
deb archive.ubuntu.... focal-updates main restricted universe multiverse
deb-src archive.ubuntu.... focal-updates main restricted universe multiverse
deb archive.ubuntu.... focal-security main restricted universe multiverse
deb-src archive.ubuntu.... focal-security main restricted universe multiverse
deb archive.ubuntu.... focal-backports main restricted universe multiverse
deb-src archive.ubuntu.... focal-backports main restricted universe multiverse
deb archive.canonic... focal partner
deb-src archive.canonic... focal partner
deb [arch=arm64] ports.ubuntu.co... focal main restricted universe multiverse
deb [arch=arm64] ports.ubuntu.co... focal-updates main restricted universe multiverse
deb [arch=arm64] ports.ubuntu.co... focal-security main restricted universe multiverse
deb [arch=i386,amd64] us.archive.ubun... focal main restricted universe multiverse
deb [arch=i386,amd64] us.archive.ubun... focal-updates main restricted universe multiverse
deb [arch=i386,amd64] security.ubuntu... focal-security main restricted universe multiverse
########
_________________________
Añadimos las siguientes llaves publicas desde consola
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 871920D1991BC93C
_________________________
Actualizamos el sistema
sudo apt-get update
_________________________
Instalamos Snort
sudo apt-get install snort
CONFIGURACION
ip addr , con este comando obtendremos nuestro rango de red para la configuración de Snort
ip link set eth0 promisc on , con este comando colocaremos la tarjeta de red en modo promiscuo para poder interceptar tráfico
__________________________
sudo nano /etc/snort/snort.conf , con este comando accederemos al fichero de configuración y realizaremos lo siguiente:
#buscaremos la linea ipvar HOME_NET any y sustituiremos por : ipvar HOME_NET 192.168.0.0/24 (o la red que tengamos, en mi caso es esa)
__________________________
sudo nano /etc/snort/rules/local.rules , aqui es donde configuraremos las reglas
#introduciremos de ejemplo la siguiente linea para probar el funcionamiento de snort:
alert icmp any any - HOME_NET any (msg:"Conexión ICPM detectada"; sid:1000010; rev:1;)
___________________________
sudo snort -q -l /var/log/snort -i eth0 -A console -c /etc/snort/snort.conf , iniciamos snort en consola y configuramos el guardado de logs
-q modo silencioso
-l activa el modo registrador
-i selecciona la interfaz de red a utilizar
___________________________
Acciones disponibles para aplicar en las reglas
alert - generate an alert using the selected alert method, and then log the packet
log - log the packet
pass - ignore the packet
drop - block and log the packet
reject - block the packet, log it, and then send a TCP reset if the protocol is TCP or an ICMP port unreachable message if the protocol is UDP.
sdrop - block the packet but do not log it.
__________________________
snort -h , comando de ayuda
__________________________
REPOSITORIO CON MULTIPLES REGLAS PRECONFIGURADAS
github.com/sec...
10 сен 2024
