Taller de Sistemas de detección de intrusiones SNORT - Configuración

Una vez instalado el programa, lo ejecutamos y aparecerá en la barra de iconos al lado del reloj:

un icono negro tachado de rojo. Este nuestro icono de IDSCenter. Botón derecho sobre el icono:

y pulsamos sobre Setting, tras lo cual aparecerá el front-end de configuración de Snort con el panel General > Main configuration:

Aquí comentaremos la configuración de nuestro programa. En este capítulo lo configuraremos desde IDSCenter con la configuración más básica. Más adelante iremos complicando la configuración y viendo más opciones.

Desde este panel configuraremos la versión de Snort instalada en nuestro sistema: "Snort 1.8" o "Snort 1.7".

• Snort executable file: localización del ejecutable Snort.exe. Disponemos de un botón de navegación para su facil localización.
• Log file: ubicación del fichero de texto alert.ids, en el cual se almacenarán los logs de las alertas, intrusiones, etc a nuestro sistema.
• Log viewer: configura el tipo de salida para nuestros logs generados por Snort. Lo dejaremos de momento en internal logs viewer, aunque como vemos, podemos usar una salida tipo XML.

De momento esto es todo en este panel.

Vamos ahora al panel IDS rules > Snort config

Aquí le diremos a IDSCenter la ubicación del fichero de configuración de Snort (snort.conf).

Configuration file (Snort.conf): Ubicación de snort.conf

Aquí no hace falta configurar nada más. Ahora sólo tendremos que pulsar en el botón "Apply" para cargar snort.conf y nos aparecerá su contenido en la ventana.

Para comprobar que todo va bien y no hay errores de momento nos vamos al panel General > Overview:

En la ventana Configuration errors aparecerán, si se da el caso, los errores de configuración que hayamos cometido. Más abajo en Snort commandline vemos la línea de comandos que ejecutará Snort. Este paso de General > Overwiew para ver los errores de configuración lo podemos realizar en cualquier momento.

Panel Log setting > Logging parameters

Aquí entre otras muchas opciones que veremos en próximos capítulos, podemos seleccionar la interface de red. Útil para servidores con dos o más interfaces de red. Si hacemos algún cambio debemos pulsar "Apply".

Si pulsamos "Test setting" aparecerá una ventana DOS donde visualizaremos la ejecución de Snort en línea de comando para testear que con nuestra configuración no existe error alguno.

En este caso vemos que tras la carga de Snort.exe con los parámetros de configuración establecidos en IDSCenter, el sistema no nos devuelve error alguno y se queda el programa activo y en funcionamiento. Una vez visto esto, podemos cerrar la ventana.