Enviando alertas a un syslog remoto con snort.

En este artículo vamos a ver una funcionalidad de Snort. Se trata de usar la opción de envío de alertas a un syslog remoto.

Este artículo es una actualización de otro que publiqué en otros medios.

Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.

Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon (8.3.7), aunque puede ser otro cualquiera.

Una vez instalado el servidor syslog, que podemos hacerlo como aplicación o como servicio, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.

Configurando Kiwi Syslog Daemon

File > Setup > Imputs > UDP

Marcamos “Listen for UDP Syslog messages”

UDP Port (1-65535): 514 (en este caso 514, aunque puede ser cualquiera)

kiwi syslog daemon configuracion

 

 

Configurando Snort para Syslog.

Para que Snort envie las alertas a un syslog tendremps que añadir la opción -s a nuestra lista de comandos Snort y modificar el fichero de configuración snort.conf.

Al fichero de configuración de Snort le tendremos que realizar los siguientes cambios:

configuracion snort syslog

Es decir, añadimos la línea:

output alert_syslog: host:192.168.1.30:514, LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID

Para terminar, en la línea de comendos para ejecutar Snort:

snort -i3 -A console -dev -l C:\Snort\log -h 192.168.101.240/24 -c C:\Snort\etc\snort.conf -s

Donde:

  • -s activamos el envio a syslog
  • 192.168.1.30 máquina donde corre el syslog
  • 514 puerto UDP donde escucha el servicio syslog

En este captura vemos que efectivamente estamos recibiendo las alertas del sensor IDS Snort instalado hacia la máquina remota:

kiwi syslog daemon en accion

Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , , , , , , , , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s