Instalar y configurar el sistema de detección de intrusiones Snort 3 en Ubuntu 22.04
Snort es un sistema de prevención y detección de intrusiones (IDS) de código abierto para defenderse de los ataques DDoS. Utiliza reglas incorporadas que ayudan a definir la actividad maliciosa de la red y utiliza esas reglas para encontrar paquetes que coincidan con ellas y genera alertas para los usuarios. Snort puede identificar los últimos ataques, las infecciones de malware, los sistemas comprometidos y las violaciones de las políticas de red.
Características
- Monitorización del tráfico en tiempo real.
- Registro de paquetes. Análisis de protocolo.
- Coincidencia de contenido. Toma de huellas del sistema operativo.
- Se puede instalar en cualquier entorno de red.
- Crea registros.
En este tutorial, te mostraremos cómo instalar Snort en Ubuntu 22.04.
Requisitos previos
- Un servidor con Ubuntu 22.04.
- Una contraseña de root configurada en el servidor.
Instalar las dependencias necesarias
Antes de empezar, necesitarás instalar algunas dependencias en tu servidor. Puedes instalarlas todas ejecutando el siguiente comando:
apt install build-essential libpcap-dev libpcre3-dev libnet1-dev zlib1g-dev luajit hwloc libdnet-dev libdumbnet-dev bison flex liblzma-dev openssl libssl-dev pkg-config libhwloc-dev cmake cpputest libsqlite3-dev uuid-dev libcmocka-dev libnetfilter-queue-dev libmnl-dev autotools-dev libluajit-5.1-dev libunwind-dev libfl-dev -y
Una vez instaladas todas las dependencias, puedes pasar al siguiente paso.
Instalar Snort DAQ
A continuación, tendrás que instalar la biblioteca de Adquisición de Datos en tu sistema. Por defecto, no está disponible en el repositorio por defecto de Ubuntu. Así que tendrás que compilarla desde el código fuente.
Primero, descarga el DAQ de Snort desde Git con el siguiente comando:
git clone https://github.com/snort3/libdaq.git
Una vez completada la descarga, navega al directorio descargado y configúralo con el siguiente comando:
cd libdaq ./bootstrap ./configure
Deberías ver la siguiente salida:
cc: gcc
cppflags:
am_cppflags: -fvisibility=hidden -Wall -Wmissing-declarations -Wpointer-arith -Wcast-align -Wcast-qual -Wformat -Wformat-nonliteral -Wformat-security -Wundef -Wwrite-strings -Wextra -Wsign-compare -Wno-unused-parameter -fno-strict-aliasing -fdiagnostics-show-option
cflags: -g -O2
am_cflags: -Wstrict-prototypes -Wmissing-prototypes -Wold-style-definition -Wnested-externs
ldflags:
am_ldflags:
libs:
code_coverage_enabled: no
code_coverage_cppflags:
code_coverage_cflags:
code_coverage_ldflags:
Build AFPacket DAQ module.. : yes
Build BPF DAQ module....... : yes
Build Divert DAQ module.... : no
Build Dump DAQ module...... : yes
Build FST DAQ module....... : yes
Build netmap DAQ module.... : no
Build NFQ DAQ module....... : yes
Build PCAP DAQ module...... : yes
Build Savefile DAQ module.. : yes
Build Trace DAQ module..... : yes
Build GWLB DAQ module...... : yes
A continuación, instálalo con el siguiente comando
make make install
Instalar Gperftools
Primero, descarga la última versión de Gperftools con el siguiente comando:
cd wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.9.1/gperftools-2.9.1.tar.gz
Una vez completada la descarga, extrae el archivo descargado con el siguiente comando:
tar xzf gperftools-2.9.1.tar.gz
A continuación, navega hasta el directorio descargado y compílalo con el siguiente comando:
cd gperftools-2.9.1/ ./configure
A continuación, instálalo con el siguiente comando:
make make install
Instalar Snort
A continuación, descarga la última versión de Snort con el siguiente comando
cd wget https://github.com/snort3/snort3/archive/refs/tags/3.1.43.0.tar.gz
A continuación, extrae el archivo descargado con el siguiente comando
tar -xvzf 3.1.43.0.tar.gz
A continuación, navega hasta el directorio extraído y configúralo con el siguiente comando
cd snort3-3.1.43.0 ./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
Obtendrás la siguiente salida:
snort version 3.1.43.0
Install options:
prefix: /usr/local
includes: /usr/local/include/snort
plugins: /usr/local/lib/snort
Compiler options:
CC: /usr/bin/cc
CXX: /usr/bin/c++
CFLAGS: -fvisibility=hidden -DNDEBUG -g -ggdb -fno-builtin-malloc -fno-builtin-calloc -fno-builtin-realloc -fno-builtin-free -O2 -g -DNDEBUG
CXXFLAGS: -fvisibility=hidden -DNDEBUG -g -ggdb -fno-builtin-malloc -fno-builtin-calloc -fno-builtin-realloc -fno-builtin-free -O2 -g -DNDEBUG
EXE_LDFLAGS:
MODULE_LDFLAGS:
Feature options:
DAQ Modules: Static (afpacket;bpf;dump;fst;gwlb;nfq;pcap;savefile;trace)
libatomic: System-provided
Hyperscan: OFF
ICONV: ON
Libunwind: ON
LZMA: ON
RPC DB: Built-in
SafeC: OFF
TCMalloc: ON
JEMalloc: OFF
UUID: ON
-------------------------------------------------------
-- Configuring done
-- Generating done
-- Build files have been written to: /root/snort3-3.1.43.0/build
A continuación, cambia el directorio al directorio de construcción e instala el Snort con el siguiente comando:
cd build make make install ldconfig
Ahora puedes verificar la versión de Snort con el siguiente comando:
snort -V
Obtendrás la siguiente salida:
,,_ -*> Snort++ <*-
o" )~ Version 3.1.43.0
'''' By Martin Roesch & The Snort Team
http://snort.org/contact#team
Copyright (C) 2014-2022 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using DAQ version 3.0.9
Using LuaJIT version 2.1.0-beta3
Using OpenSSL 3.0.2 15 Mar 2022
Using libpcap version 1.10.1 (with TPACKET_V3)
Using PCRE version 8.39 2016-06-14
Using ZLIB version 1.2.11
Using LZMA version 5.2.5
Configurar Snort
En primer lugar, tendrás que configurar tu interfaz de red en modo promiscuo para que pueda ver todo el tráfico de red que se le envía.
Puedes configurarlo con el siguiente comando:
ip link set dev eth0 promisc on
Ahora puedes comprobarlo con el siguiente comando:
ip add sh eth0
A continuación, también tendrás que desactivar la Descarga de la Interfaz. En primer lugar, comprueba si esta función está activada o no mediante el siguiente comando:
ethtool -k eth0 | grep receive-offload
Obtendrás la siguiente salida:
generic-receive-offload: on large-receive-offload: off [fixed]
Ahora puedes desactivarla con el siguiente comando:
ethtool -K eth0 gro off lro off
Crear un archivo de servicio Systemd para Snort NIC
A continuación, tendrás que crear un archivo de servicio systemd para Snort NIC.
nano /etc/systemd/system/snort3-nic.service
Añade las siguientes líneas:
[Unit] Description=Set Snort 3 NIC in promiscuous mode and Disable GRO, LRO on boot After=network.target [Service] Type=oneshot ExecStart=/usr/sbin/ip link set dev eth0 promisc on ExecStart=/usr/sbin/ethtool -K eth0 gro off lro off TimeoutStartSec=0 RemainAfterExit=yes [Install] WantedBy=default.target
Guarda y cierra el archivo, luego recarga el demonio systemd para aplicar los cambios:
systemctl daemon-reload
A continuación, inicia y habilita a Snort con el siguiente comando:
systemctl start snort3-nic.service systemctl enable snort3-nic.service
Puedes comprobar el estado de Snort con el siguiente comando:
systemctl status snort3-nic.service
Obtendrás la siguiente salida:
? snort3-nic.service - Set Snort 3 NIC in promiscuous mode and Disable GRO, LRO on boot
Loaded: loaded (/etc/systemd/system/snort3-nic.service; disabled; vendor preset: enabled)
Active: active (exited) since Tue 2022-10-11 16:24:15 UTC; 6s ago
Process: 95745 ExecStart=/usr/sbin/ip link set dev eth0 promisc on (code=exited, status=0/SUCCESS)
Process: 95746 ExecStart=/usr/sbin/ethtool -K eth0 gro off lro off (code=exited, status=0/SUCCESS)
Main PID: 95746 (code=exited, status=0/SUCCESS)
CPU: 11ms
Oct 11 16:24:15 ubuntu2204 systemd[1]: Starting Set Snort 3 NIC in promiscuous mode and Disable GRO, LRO on boot...
Oct 11 16:24:15 ubuntu2204 systemd[1]: Finished Set Snort 3 NIC in promiscuous mode and Disable GRO, LRO on boot.
Instalar las reglas de Snort
Las reglas son muy importantes para el motor de detección de intrusos Snorts. Primero, crea un directorio para almacenar todas las reglas:
mkdir /usr/local/etc/rules
A continuación, descarga las reglas de la comunidad con el siguiente comando:
wget -qO- https://www.snort.org/downloads/community/snort3-community-rules.tar.gz | tar xz -C /usr/local/etc/rules/
A continuación, edita el archivo de configuración principal de Snort:
nano /usr/local/etc/snort/snort.lua
Define tu red como se muestra a continuación:
HOME_NET = '192.168.56.124/32' EXTERNAL_NET = '!$HOME_NET'
A continuación, define la ruta de tus reglas Snort:
ips =
{
-- use this to enable decoder and inspector alerts
--enable_builtin_rules = true,
-- use include for rules files; be sure to set your path
-- note that rules files can include other rules files
-- (see also related path vars at the top of snort_defaults.lua)
variables = default_variables,
rules = [[
include /usr/local/etc/rules/snort3-community-rules/snort3-community.rules
]]
}
Guarda y cierra el archivo cuando hayas terminado.
Instalar Snort OpenAppID
OpenAppID es un plugin que permite a Snort detectar varias aplicaciones, Facebook, Netflix, Twitter y Reddit, utilizadas en la red.
Puedes descargarlo con el siguiente comando:
wget https://www.snort.org/downloads/openappid/26425 -O OpenAppId-26425.tgz
Una vez completada la descarga, extrae el archivo descargado con el siguiente comando:
tar -xzvf OpenAppId-26425.tgz
A continuación, copia el archivo binario de OpenAppID al directorio del sistema:
cp -R odp /usr/local/lib/
A continuación, edita el archivo de configuración de Snort y define tu ubicación de OpenAppID:
nano /usr/local/etc/snort/snort.lua
Cambia las siguientes líneas:
appid =
{
app_detector_dir = '/usr/local/lib',
log_stats = true,
}
Guarda y cierra el archivo, luego crea un directorio de registro de Snort:
mkdir /var/log/snort
Por último, verifica el archivo de configuración de Snort con el siguiente comando:
snort -c /usr/local/etc/snort/snort.lua
Si todo está bien, obtendrás la siguiente salida:
--------------------------------------------------
fast pattern groups
src: 59
dst: 158
any: 4
to_server: 56
to_client: 39
--------------------------------------------------
search engine
instances: 316
patterns: 10282
pattern chars: 166369
num states: 112212
num match states: 9885
memory scale: MB
total memory: 3.42574
pattern memory: 0.550588
match list memory: 1.25256
transition memory: 1.58402
fast pattern only: 6822
--------------------------------------------------
pcap DAQ configured to passive.
Snort successfully validated the configuration (with 0 warnings).
o")~ Snort exiting
Crear reglas personalizadas de Snort
También puedes crear tus propias reglas personalizadas según tus necesidades. Vamos a crear una regla personalizada para las peticiones ICMP entrantes:
nano /usr/local/etc/rules/local.rules
Añade la siguiente línea:
alert icmp any any -> $HOME_NET any (msg:"ICMP connection test"; sid:1000001; rev:1;)
A continuación, verifica las reglas con el siguiente comando:
snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules
Obtendrás la siguiente salida:
search engine
instances: 316
patterns: 10282
pattern chars: 166369
num states: 112212
num match states: 9885
memory scale: MB
total memory: 3.42574
pattern memory: 0.550588
match list memory: 1.25256
transition memory: 1.58402
fast pattern only: 6822
--------------------------------------------------
pcap DAQ configured to passive.
Snort successfully validated the configuration (with 0 warnings).
o")~ Snort exiting
A continuación, ejecuta el siguiente comando para iniciar el Snort en tu interfaz de red utilizando tus reglas personalizadas:
snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/local.rules -i eth0 -A alert_fast -s 65535 -k none
A continuación, abre otra interfaz de terminal y haz un ping a tu servidor. Deberías ver el error ICMP en el primer terminal:
10/11-16:45:23.848071 [**] [1:1000001:1] "ICMP connection test" [**] [Priority: 0] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:23.848071 [**] [1:384:8] "PROTOCOL-ICMP PING" [**] [Classification: Misc activity] [Priority: 3] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:24.323038 [**] [1:366:11] "PROTOCOL-ICMP PING Unix" [**] [Classification: Misc activity] [Priority: 3] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:24.323038 [**] [1:1000001:1] "ICMP connection test" [**] [Priority: 0] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:24.323038 [**] [1:384:8] "PROTOCOL-ICMP PING" [**] [Classification: Misc activity] [Priority: 3] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
^C** caught int signal
== stopping
10/11-16:45:25.353007 [**] [1:366:11] "PROTOCOL-ICMP PING Unix" [**] [Classification: Misc activity] [Priority: 3] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:25.353007 [**] [1:1000001:1] "ICMP connection test" [**] [Priority: 0] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
10/11-16:45:25.353007 [**] [1:384:8] "PROTOCOL-ICMP PING" [**] [Classification: Misc activity] [Priority: 3] [AppID: ICMP] {ICMP} 157.32.34.228 -> 209.23.11.18
Crea un archivo de servicio Systemd para Snort
A continuación, crea un archivo de servicio systemd para gestionar el Snort a través de systemd.
nano /etc/systemd/system/snort3.service
Añade las siguientes configuraciones:
[Unit] Description=Snort Daemon After=syslog.target network.target [Service] Type=simple ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -D -i eth0 -m 0x1b -u root -g root ExecStop=/bin/kill -9 $MAINPID [Install] WantedBy=multi-user.target
Guarda y cierra el archivo, luego recarga el demonio systemd con el siguiente comando:
systemctl daemon-reload
A continuación, inicia y habilita el servicio Snort con el siguiente comando:
systemctl enable --now snort3
Ahora puedes verificar el estado de Snort con el siguiente comando:
systemctl status snort3
Obtendrás la siguiente salida:
? snort3.service - Snort Daemon
Loaded: loaded (/etc/systemd/system/snort3.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2022-10-11 16:48:28 UTC; 17s ago
Main PID: 95898 (snort)
Tasks: 2 (limit: 4579)
Memory: 233.6M
CPU: 2.007s
CGroup: /system.slice/snort3.service
??95898 /usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -s 65535 -k none -l /var/log/snort -D -i eth0 -m 0x1b -u root -g >
Oct 11 16:48:29 ubuntu2204 snort[95898]: num match states: 9885
Oct 11 16:48:29 ubuntu2204 snort[95898]: memory scale: MB
Oct 11 16:48:29 ubuntu2204 snort[95898]: total memory: 3.42574
Oct 11 16:48:29 ubuntu2204 snort[95898]: pattern memory: 0.550588
Oct 11 16:48:29 ubuntu2204 snort[95898]: match list memory: 1.25256
Oct 11 16:48:29 ubuntu2204 snort[95898]: transition memory: 1.58402
Oct 11 16:48:29 ubuntu2204 snort[95898]: fast pattern only: 6822
Oct 11 16:48:29 ubuntu2204 snort[95898]: --------------------------------------------------
Oct 11 16:48:29 ubuntu2204 snort[95898]: pcap DAQ configured to passive.
Oct 11 16:48:29 ubuntu2204 snort[95898]: Commencing packet processing
Conclusión
Enhorabuena! has instalado y configurado con éxito Snort 3 en Ubuntu 22.04. Ahora puedes implementar Snort en tu organización y protegerla de los ataques DDoS. No dudes en preguntarme si tienes alguna duda.