elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Sistemas Operativos
| |-+  GNU/Linux (Moderador: MinusFour)
| | |-+  Dificultades para utilizar Snort
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Dificultades para utilizar Snort  (Leído 3,421 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Dificultades para utilizar Snort
« en: 27 Marzo 2015, 13:38 pm »

Hola, pues eso, que se me ha ocurrido probar snort y poder crear mis propias regl de seguridad en mis servidores web, pero he tenido varias complicaciones que se las describiré ahora ya que me h costado solucionarlas.

Lo primero que hago sin conocimientos previos de instalación de snort es ir al sitio web oficial:
https://snort.org/

Ahora me fijo en la descarga que dice tener diferentes verisones para diferentes distribuciones mas el código fuente... en mi caso uso CentOS para mis servidores, especificamente centOS 6, pero la descarga de snort solo está disponible para CentOS 7, y bueno, no quiero instalar una versión obsoleta de snort o antigua ya que si lo voy a comenzar a usar no quiero tener que migrar todo denuevo en el corto plazo asi que... me dije... tengo dos opciones, o formateo todos los servidores e instalo centos 7 o lo instalo desde el código fuente, y bueno, preferí instalar centos 7 ya que no me gusta la idea de tener que estar migrando cuando algo queda obsoleto o sin soporte (pero ojo, aun no formateo nada, aun sigo usando centos 6).

Asi que con estas conclusiones instalé en mi pc vmware e instalé centos 6 y centos 7 para hacer las pruebas correspondientes.

En centos 7 no tuve ningún problema con la instalación, tuve que instalar daq y luego snort y mucho ojo, porque instalar snort a traves de las instrucciones oficiales arroja un problema conocido, por ejemplo donde dice:
Código:
yum install https://snort.org/downloads/snort/snort-2.9.7.2-1.centos7.x86_64.rpm

Arroja un error de unas dependencias raras o paquete corrupto, lo que si funciona es descargarlo con wget y luego instalar con yum install *.rpm

En fin, pero eso no es problema. Intalé las reglas corretamente sin utilizar pulledpork (porque prefiero hacerlo manualmente con un cron y wget).


Primer problema

El primer problema lo tuve al intentar crear una regla en expresión regular para solicitudes peligrosas via http_uri:

Código:
alert tcp any any -> $HOME_NET any ( \
        msg:"SQLI"; \
        content:"/"; http_raw_uri; pcre:"/union(.*)select/"; \
        classtype:web-application-attack; \
        sid:3000007; \
        rev:1; \
)

Y hecho a correr snort:
Código:
# snort -i eno16777736 -u snort -g snort -c /etc/snort/snort.conf

y  reviso el log:
Código:
# tail -f /var/log/snort/alert

Ahora hago la famosa solicitud peligrosa:
http://192.168.120.137/?test=' union select 1,2,3,4,5 -- +

Y el log de alertas no arroja nada :-\

Pero bueno, de todas maneras tiene un sin fin de reglas muy buenas aunque entiendo que snort no cuenta con buenas reglas de prevención contra ataques vía http como un xsrf, xss, sqli, etc, asi que de todas maneras quise instalarlo en mis semás servidores pero quise intentar hacer la instalación en centos 6 para no tener que formatear todos mis servidores y hacerlo de manera progresiva, asi que hice la prueba en el servidor virtual con centos 6.

Ya me di cuenta que snort oficialmente está disponible unicamente para centos 7 asi que de todas maneras hice el mismo proceso que centos 7 y me arrojó mil y un problemas de dependencias, especificamente porque necesitaba librerias mas actualizadas que las que proporciona centos 6, asi que decidí hacer la instalación manualmente desde el código fuente, asi que descargé el tag zg de libdnet, daq y snort e instalé todo en ese mismo orden. Lamentablemente libdnet es una dependencia critica para snort y es la que da mas problemas tanto de compatibilidad como de disponibilidad ya que solo está en googlecode y googlecode cerrará sus puertas pronto (asi que me bajé una copia de respaldo).


Segundo problema

Hasta acá todo bien, config... make, make install y ya... ahora voy a ejecutar snort y me arroja un error que falta libdnet D: asi que vuelvo a compilar libdnet y ahi funciona :D y voy a buscar el directorio directorio /etc/snort y no existe D: asi que no puedo instalar las reglas y no se si creando el directorio /etc/snort sea suficiente ya que me faltarian los archivos de configuracion y quien sabe que otras cosas mas.

El tema es que no puedo llevar a un servidor en producción un snort a medio instalar, en el camino se me han presentado muchos otros problemas que ya he solucionado como problemas de versión y link de la famosa libreria libdnet (que ya estoy comenzando a odiar) pero ya lo tengo bajo control.


El tema es el siguiente...

1. Como hago una regla para que me filtre una solicitud uri en expresión regular? ya que actualmente uso un script en php para mi web con muchas reglas y basta con procesarlas con preg_match() y $_SERVER["REQUEST_URI"] mas $_GET[] pero en snort parece un poco mas complicado y tengo otras reglas que arrojan error de sintaxis, etc.

2. Como hago la instalación de la última versión de snort en centos 6?

De verdad que hacer la instalación en centos 6 no me quita el sueño porque de todas maneras en algun momento voy a tener que migrar a centos 7 pero sin reglas no hay filtros y sin filtros no hay snort :(


« Última modificación: 27 Marzo 2015, 14:25 pm por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Dificultades para utilizar Snort
« Respuesta #1 en: 27 Marzo 2015, 15:57 pm »

Bien! ya solucioné lo de las expresiones regulares, el tema era simplemente que snort no detectaba nada, tuve que configurar /etc/snort/snort.conf y cambiar

Código:
config checksum_mode: all

por

Código:
config checksum_mode: none


En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Dificultades para utilizar Snort
« Respuesta #2 en: 27 Marzo 2015, 21:34 pm »

Hay un pdf en la pagina de snort sobre como compilar snort en centos 6/7. Si pudiste compilar DAQ y snort vas por buen Camino. Los archivos de configuracion parece ser que no se instalan con el make install, tienes que copiarlos de /usr/local/src/snort-*/etc (si mal no recuerdo). Tambien necesitas configurar permisos de unas carpetas. Todo esta en el pdf.

https://www.snort.org/documents/snort-2-9-7-x-on-centos-6-x-and-7-x

En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
dificultades con cap9
Ingeniería Inversa
_Bj0rD_ 6 2,947 Último mensaje 15 Febrero 2005, 07:20 am
por _Bj0rD_
Una empresa tecnológica tiene dificultades para encontrar empleados nacionales..
Noticias
wolfbcn 2 2,753 Último mensaje 30 Julio 2012, 17:09 pm
por WHK
Blackhole kit 2.0. Facilidades en la infección y dificultades para el analista
Noticias
wolfbcn 0 1,778 Último mensaje 14 Septiembre 2012, 14:20 pm
por wolfbcn
GUI para snort
Dudas Generales
4ndr3s19 3 4,009 Último mensaje 21 Abril 2016, 01:39 am
por engel lex
Los departamentos de TI tienen dificultades para mantener la nube segura ....
Noticias
wolfbcn 0 1,103 Último mensaje 13 Febrero 2017, 21:52 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines