Introducción

Snort es un sistema de detección de intrusiones (IDS) basado en red, capaz de realizar análisis de tráfico en tiempo real y registro de paquetes en redes IP. Es utilizado ampliamente para la detección de ataques y el análisis de tráfico de red en tiempo real. Este artículo detallará cómo configurar Snort en Windows, incluyendo la instalación, configuración básica y algunos ejemplos de uso.

Requisitos previos

Antes de comenzar con la instalación y configuración de Snort en Windows, asegúrate de tener los siguientes requisitos:

1. Un sistema operativo Windows (preferiblemente Windows 10 o superior).
2. Acceso a Internet para descargar los archivos necesarios.
3. Privilegios de administrador en el sistema.

Paso 1: Descargar e instalar Snort

1. Descargar Snort:
   • Visita el sitio oficial de Snort: https://www.snort.org/downloads
   • Descarga la versión más reciente para Windows.
2. Instalar Snort:
   • Ejecuta el archivo descargado (snort-x.x.x.x-win32.exe).
   • Sigue las instrucciones del asistente de instalación.
   • Acepta los términos de la licencia y selecciona el directorio de instalación (por defecto es C:\Snort).
   • Completa la instalación.

Paso 2: Configuración de Snort

1. Configurar las variables de entorno:
   • Abre el Panel de Control y selecciona "Sistema y seguridad".
   • Haz clic en "Sistema" y luego en "Configuración avanzada del sistema".
   • En la pestaña "Opciones avanzadas", haz clic en "Variables de entorno".
   • En "Variables del sistema", encuentra la variable "Path" y haz clic en "Editar".
   • Agrega la ruta del directorio de Snort (C:\Snort\bin) a la variable Path.
2. Configurar el archivo snort.conf:
   • El archivo de configuración principal de Snort es snort.conf, ubicado en C:\Snort\etc.
   • Abre el archivo snort.conf con un editor de texto (por ejemplo, Notepad++).
3. Configurar las rutas de los archivos:
4. En el archivo snort.conf, establece las rutas de los archivos necesarios.

   var RULE_PATH C:\Snort\rules 
   var SO_RULE_PATH C:\Snort\so_rules 
   var PREPROC_RULE_PATH C:\Snort\preproc_rules 
   var WHITE_LIST_PATH C:\Snort\etc 
   var BLACK_LIST_PATH C:\Snort\etc
   

Configurar las interfaces de red:

• Determina la interfaz de red que Snort utilizará para monitorear el tráfico. Usa el comando snort -W para listar las interfaces disponibles.
• Configura la interfaz en el archivo snort.conf:

config interface: 1

Paso 3: Descargar y configurar reglas

1. Descargar las reglas de Snort:
   • Las reglas de Snort se pueden descargar desde el sitio oficial: https://www.snort.org/downloads.
   • Descarga las reglas más recientes (necesitarás registrarte en el sitio).
2. Extraer y copiar las reglas:
   • Extrae el contenido del archivo de reglas descargado.
   • Copia las reglas a la carpeta C:\Snort\rules.
3. Incluir las reglas en snort.conf:
   • En el archivo snort.conf, incluye las reglas descargadas:

include $RULE_PATH/community.rules
include $RULE_PATH/local.rules

Paso 4: Ejecutar Snort

1. Comprobar la configuración:
   • Antes de ejecutar Snort, verifica que el archivo de configuración sea correcto:

snort -T -c C:\Snort\etc\snort.conf

• • Si la configuración es correcta, deberías ver un mensaje indicando que la prueba fue exitosa.
• Ejecutar Snort en modo de monitoreo:
  • Ejecuta Snort en modo de monitoreo para comenzar a analizar el tráfico de red:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Ejemplos de Utilización de Snort en Windows

Ejemplos de Utilización de Snort en Windows

Ejemplo 1: Detección de Escaneos de Puertos

Configuración de la Regla

Los escaneos de puertos son una técnica común utilizada por los atacantes para identificar servicios activos en una máquina. Podemos configurar una regla en Snort para detectar este tipo de actividad sospechosa.

Agregar una Regla de Detección de Escaneo de Puertos:

Abre el archivo local.rules en C:\Snort\rules con un editor de texto.

Agrega la siguiente regla:

alert tcp any any -> any 80 (msg:"Escaneo de puerto detectado"; flags:S; threshold:type both, track by_src, count 20, seconds 60; classtype:attempted-recon; sid:1000001; rev:1;)

Esta regla generará una alerta cuando detecte 20 intentos de conexión al puerto 80 desde cualquier dirección IP en un periodo de 60 segundos.

Ejecución de Snort

Para ejecutar Snort con esta regla:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Esto iniciará Snort en la interfaz de red especificada y comenzará a monitorear el tráfico según la configuración establecida.

Ejemplo 2: Detección de Tráfico HTTP Malicioso

Configuración de la Regla

Para detectar tráfico HTTP malicioso, puedes configurar una regla que busque patrones específicos en las solicitudes HTTP.

Agregar una Regla de Detección de Tráfico HTTP Malicioso:

Abre el archivo local.rules en C:\Snort\rules.

Agrega la siguiente regla:

alert tcp any any -> any 80 (msg:"Tráfico HTTP malicioso detectado"; content:"malicious"; http_uri; classtype:trojan-activity; sid:1000002; rev:1;)

Esta regla generará una alerta cuando detecte la palabra "malicious" en la URI de una solicitud HTTP.

Ejecución de Snort

Para ejecutar Snort con esta regla:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Snort comenzará a monitorear el tráfico HTTP y alertará si se encuentra el patrón especificado.

Ejemplo 3: Detección de Intentos de Login Fallidos

Configuración de la Regla

Podemos configurar Snort para detectar intentos de login fallidos a un servicio específico, como SSH.

Agregar una Regla de Detección de Intentos de Login Fallidos:

Abre el archivo local.rules en C:\Snort\rules.

Agrega la siguiente regla:

alert tcp any any -> any 22 (msg:"Intento de login fallido detectado"; content:"Failed password"; nocase; classtype:attempted-admin; sid:1000003; rev:1;)

Esta regla generará una alerta cuando detecte la cadena "Failed password" en el tráfico dirigido al puerto 22 (SSH).

Ejecución de Snort

Para ejecutar Snort con esta regla:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Snort monitoreará el tráfico SSH y alertará si detecta intentos de login fallidos.

Ejemplo 4: Detección de Malware en Descargas HTTP

Configuración de la Regla

Para detectar descargas de archivos maliciosos, podemos configurar Snort para buscar patrones específicos en las descargas HTTP.

Agregar una Regla de Detección de Malware en Descargas HTTP:

Abre el archivo local.rules en C:\Snort\rules.

Agrega la siguiente regla:

alert tcp any any -> any 80 (msg:"Descarga de malware detectada"; content:"evil.exe"; http_uri; classtype:trojan-activity; sid:1000004; rev:1;)

Esta regla generará una alerta cuando detecte la descarga de un archivo llamado "evil.exe" en una solicitud HTTP.

Ejecución de Snort

Para ejecutar Snort con esta regla:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Snort monitoreará las descargas HTTP y alertará si detecta el archivo especificado.

Ejemplo 5: Monitoreo de Tráfico DNS

Configuración de la Regla

Podemos configurar una regla para monitorear consultas DNS a dominios sospechosos.

Agregar una Regla de Monitoreo de Tráfico DNS:

Abre el archivo local.rules en C:\Snort\rules.

Agrega la siguiente regla:

alert udp any any -> any 53 (msg:"Consulta DNS sospechosa detectada"; content:"malicious.com"; nocase; classtype:trojan-activity; sid:1000005; rev:1;)

Esta regla generará una alerta cuando detecte una consulta DNS para "malicious.com".

Ejecución de Snort

Para ejecutar Snort con esta regla:

snort -i 1 -c C:\Snort\etc\snort.conf -A console

Snort monitoreará el tráfico DNS y alertará si detecta consultas al dominio especificado.