INSTALACIÓN Y CONFIGURACIÓN DEL SUSTEMA DETECTOR DE INTRUSOS SNORT
EN UBUNTU 12.4

1. Realizamos la intalación de snort por medio de la consola

2. Segiodamente en la consola se nos pedira una confiración parala instalación del software.
Digitamos la tecla s y presionamos enter para continuar.

3. Se puede visualizar en consola en proceso de descarga de los paquetes y su instalación.

4. Una vez en el proceso de instalación snort nos solicitara la dirección IP o conjunto de
direcciones IP que se deseamos monitorear.

5. Pulsamos aceptar y continuara el proceso de instalación

6. Realizamos una reconfiguración del snort para configurar algunos parámetros
adicionales. Esta reconfiguración la iniciamos por medio del siguiente comando

7. Configuramos snort para que inicie desde el arranque, igualmente se puede elegir un
inicio por marcación telefónico un inicio manual. Pulsamos aceptar.

8. A continuación procederemos a configurar las interfaces de red que queremos sean
monitoreadas por el snort. Previo a ello se nos presentara un texto donde se hacen algunas
aclaraciones y sugerencias para las interfaces de red.

9. Ingresamos la interfaz para snort, en este caso lo configuraremos con la interfaz eth0.
Pulsamos aceptar

10. Como estamos realizando una reconfiguración, nuevamente se nos licitara la red que
deseamos mantener monitoreada. Esta misma configuración se realizó en el paso 4.

11. Seguidamente se nos preguntara si deseamos recibir las notificaciones de correo
electrónico. Seleccionamos la opción que deseemos y pulsamos aceptar.

12. Si confirmo que desea recibir las notificaiones por correo electronico se le solicitara que
ingrese el correo electronico al cual se enviaran dichas notificaciones.

13. Seguidamente se nos preguntara el número mínimo de alertas que deben existir para
enviar el informe por correo electrónico. Pulsamos aceptar para continuar.

14. En la consola se mostrara que el snort se ha terminado de configurar yque su reinicio
para aplicar los cambio fue correcto.

15. Realizamos un escaneo general de la red para confirmar que snort está funcionando
correctamente, esto lo hacemos por medio del siguiente comando. El “v” permite indicar
a snort que solo nos muestre un resumen de cada notificación y con el parámetro “i” le
indicamos la interfaz de red que deseamos nos monitorice, en este caso la eth0.

16. Snort se iniciara y nos mostrara en pantalla las diferentes notificaciones para las
diferentes novedades que se presente durante la ejecución del software.

17. Pulsamos control-c para terminar el análisis y seguidamente snort nos mostrara un
resumen de la monitorización.

18. Adicionalmente snort nos permite configurar nuestras propias reglas, las cuales serán
incluidas dentro de la configuración de snort para que muestre notificaciones cuando una
de estas reglas sea violada.
Para ello, ingresamos al directorio donde se almacenan los archivos que almacenan las
reglas predefinidas por el snort.

19. Creamos nuestro propio archivo donde almacenaremos nuestras reglas. Este debe tener
una extensión .rules

20. Procedemos a redactar nuestras reglas, en este caso, definimos reglas para detectar
escaneos realizados por el software nmap.

21. Ubicamos nuevamente la ruta del archivo de configuración de snort para incluir nuestro
archivo de reglas en su configuración.

22. Ubicamos en el final del archivo el segmento donde snort define los archivos de reglas y a
continuación incluimos el archivo de reglas que hemos creado.

23. Procedemos a realizar un escaneo por medio de nmap desde Fedora para revisar su
nuestro configuración de snort está funcionando. Para ello inicialmente debemos iniciar
nuestro snort. Por medio del siguiente comando.

Le estamos diciendo a snort que se inicie cargando el archivo de configuración y mostrando las
notificaciones en la consola para las novedades que se presenten en la interfaz eth0. Pulsamos
enter para iniciar snort.

24. Snort queda a la espera de sucesos que se presente para mostrar en pantalla.

25. Nos dirigimos Fedora y realizamos un escaneo nmap a la maquia ubuntu donde
configuramos el snort a través de la IP que este caso es la 192.168.1.5.
La dirección ip de la maquina fedora donde realizamos el escaneo es la 192.168.1.3

26. Revisamos la consola de Ubuntu donde iniciamos snort para ver si se notifico acerca del
scaneo con nmap desde fedora.

Observamos en los cuadros marcados que si se detectó el escaneo, el primero con las reglas que
definimos y el segundo con las reglas por defecto del snort. Igualmente se visualiza la ip que
realizo el escaneo la 192.168.1.3 que corresponde a la ip de la maquina Fedora..