Por James Turnbull
En la primera entrega de la configuración del sensor IDS de código abierto Snort en Red Hat Enterprise Linux 5, analizamos por qué un cliente querría usar Snort y vimos que Snort se encuentra entre las herramientas IDS más populares para PYMES. En esta entrega, notamos que primero debe asegurarse de que el hardware de su cliente esté a la altura antes de poder configurar el sensor IDS Snort en una red que ejecuta Red Hat Enterprise Linux 5. En el siguiente paso, veremos la instalación de Snort. prerrequisitos.
Primero, deberá asegurarse de que el hardware que está utilizando para su sensor sea suficiente para realizar la detección requerida. La detección de IDS puede consumir memoria, procesador y espacio en disco, según el volumen de tráfico que fluye a través de ella. Para un entorno de alto volumen, debe utilizar un procesador (o procesadores) rápido, mucha memoria y suficiente espacio en disco para almacenar cualquier período de alertas y registros que requiera su entorno. También deberá asegurarse de tener una tarjeta de red de tamaño suficiente y suficientes interfaces. Recomiendo al menos dos interfaces, una para la detección y otra para la gestión. También puede tener el monitor Snort en múltiples interfaces en sus sensores, pero recomiendo mantener un puerto de administración dedicado.
En segundo lugar, debe implementar su sensor Snort en un punto donde pueda ver el tráfico que desea monitorear. Los mejores lugares para implementar sensores son los puntos de estrangulamiento de la red, como un área ubicada entre su perímetro y la red central o el monitoreo de DMZ orientadas hacia el exterior. La supervisión del tráfico se puede realizar mediante una sesión SPAN en un conmutador, o mediante pestañas de fibra o Ethernet que se insertan en los enlaces y replican el tráfico en esos enlaces a su sensor. SPAN refleja el tráfico en uno o más puertos de un conmutador a otro puerto.
A continuación, su sensor IDS debe estar seguro. Esto minimiza el riesgo de que un atacante pueda utilizar su sensor para poner en peligro su red. Cuando instale Red Hat, asegúrese de endurecer cuidadosamente el sensor, incluida la instalación de un firewall. Solo debe instalar la cantidad mínima de paquetes y eliminar usuarios y servicios innecesarios. Si tiene la intención de implementar varios sensores, una compilación Kickstart dedicada es un buen enfoque. También hay una variedad de buenas guías de refuerzo disponibles para Red Hat y, de manera más genérica, para hosts Linux. Debe utilizar una de estas guías. También debe asegurarse de actualizar y parchear regularmente su sensor para asegurarse de que se aborden las posibles vulnerabilidades.
Detección de intrusiones con Snort en Red Hat Enterprise Linux 5
Introducción a la detección y prevención de intrusiones en la red mediante Snort
Requisitos de configuración de red y hardware de Snort = «texto3″>
Requisitos previos de instalación de Snort
Compilando Snort y configuración con MySQL
Configurar Snort y configurar reglas
Editando el archivo snort.conf
Sobre el Autor
James Turnbull trabaja para el National Australia Bank como arquitecto de seguridad. También es el autor de Endurecimiento de Linux, que se enfoca en fortalecer los hosts de Linux, incluido el sistema operativo base, los sistemas de archivos, el firewall, las conexiones, el registro, probar su seguridad y proteger una serie de aplicaciones comunes que incluyen correo electrónico, FTP y DNS. Es un arquitecto de infraestructura experimentado con experiencia en Linux / Unix, AS / 400, Windows y sistemas de almacenamiento. Ha estado involucrado en consultoría de seguridad, diseño de seguridad de infraestructura, SLA y definición de servicios y tiene un interés permanente en métricas y medición de seguridad.