Snort es un sistema detector de intrusiones en la red, capaz de hacer análisis en tiempo real y almacenar en un archivo de log los paquetes IP que han llegado a una determinada interfaz de red. La forma de instalarlo será la siguiente:
# apt-get install snort snort-common snort-doc snort-rules-default |
Una vez se ha bajado el paquete, contestaremos a las preguntas realizadas de la siguiente forma:
¿Cuando debería arrancarse Snort? boot ¿En qué interfaz debería escuchar Snort? eth1 (para Cancerbero) What address range should Snort consider to be local? 192.168.1.0/16 ¿Debería deshabilitar el modo promiscuo? No ¿Deberían las reglas de Snort cambiarse de orden a Pasar|Alertar|Registrar? No Si quiere añadir opciones adicionales a 'snort', especifiquelas aquí: "En blanco" ¿Quién debería recibir las estadísticas diarias? root Una alerta debe aparecer más de éste número de veces para aparecer en las estadísticas. -> 1 |
Con eso es suficiente para que se ponga en marcha.
ippl es un “demonio” que guarda en archivos de log los paquetes IP enviados a un ordenador. Se ejecuta en segundo plano y muestra la información de los paquetes entrantes. Para instalarlo ejecutaremos:
# apt-get install ippl |
La configuración se lleva a cabo en el archivo de configuración situado en /etc/ippl.conf. Ha de tener un aspecto similar al siguiente:
# IP protocols logger - Configuration file # See ippl.conf(5) # User used # --------- # Specify the user (declared in /etc/passwd) used to run the # logging threads. runas nobody # Resolve hostnames? # ------------------ # Uncomment the line below to disable DNS lookups #noresolve all # Use ident? # ---------- # Uncomment the line below to enable IDENT lookups #ident # Log end of TCP connections ? # ---------------------------- # Uncomment the line below to enable logging of closing TCP connections # See the BUGS file. #logclosing # Expiration of DNS data # ---------------------- #expire 3600 # Log in a file # ------------- # Uncomment this line if you want to log messages into a /var/log/ippl.log # See ippl.conf(5) for the syntax. log-in all /var/log/ippl/all.log log-in udp /var/log/ippl/udp.log # Protocols logged # ---------------- run icmp tcp # Uncomment the line below to log UDP traffic. # See ippl.conf(5) for recommandations. run udp # Logging format # ---------------- # If you want to see the destination address, the ports, etc # Or if you want to log the minimal information. # See ippl.conf(5) for details. logformat detailed all # Filtering of packets logged # --------------------------- # Do not log answers to echo requests #ignore icmp type echo_reply # Log telnet connections using ident and name resolution log options ident,resolve tcp port telnet # Do not log UDP from localhost #ignore udp from localhost # Do not log DNS queries #ignore udp port domain #ignore udp srcport domain # End of configuration # Copyright (C) 1998-1999 Hugo Haas - Etienne Bernard |