En este artículo vamos a ver una funcionalidad de Snort. Se trata de usar la opción de envío de alertas a un syslog remoto.
Este artículo es una actualización de otro que publiqué en otros medios.
Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.
Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon (8.3.7), aunque puede ser otro cualquiera.
Una vez instalado el servidor syslog, que podemos hacerlo como aplicación o como servicio, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.
Configurando Kiwi Syslog Daemon
File > Setup > Imputs > UDP
Marcamos «Listen for UDP Syslog messages»
UDP Port (1-65535): 514 (en este caso 514, aunque puede ser cualquiera)
Configurando Snort para Syslog.
Para que Snort envie las alertas a un syslog tendremps que añadir la opción -s a nuestra lista de comandos Snort y modificar el fichero de configuración snort.conf.
Al fichero de configuración de Snort le tendremos que realizar los siguientes cambios:
Es decir, añadimos la línea:
output alert_syslog: host:192.168.1.30:514, LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID
Para terminar, en la línea de comendos para ejecutar Snort:
snort -i3 -A console -dev -l C:\Snort\log -h 192.168.101.240/24 -c C:\Snort\etc\snort.conf -s
Donde:
- -s activamos el envio a syslog
- 192.168.1.30 máquina donde corre el syslog
- 514 puerto UDP donde escucha el servicio syslog
En este captura vemos que efectivamente estamos recibiendo las alertas del sensor IDS Snort instalado hacia la máquina remota: