IDS Policy Manager. Configuración y Funcionamiento. Administración multiples sensores y politicas snort.

IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.

NOTAS de ACTUALIZACION: La segunda parte de este artículo: IDS Policy Manager. Configuración sensores snort remotos.

Tercera parte de esta serie: IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.

IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.

En este artículo aprenderemos a configurar los sensores, crear una política y aplicarla.

Antes que nada tenemos que obtener nuestro Oink Code que encontraremos tras el registro como usuario en la página oficial de Snort. Una vez registrados y logeados la final de la página de registro tendremos los datos de Oink Code que más tarde necesitaremos para configurar IDS Policy Manager.

Una vez logeados con nuestro user y pass snort al final de la página tendremos nuestro codigo:

Oink code

Descargamos e instalamos IDS Policy Manager de la página oficial (http://www.activeworx.org/) aquí

Vamos a introducir nuestro Oink Code.

Inroducir oink code

En este primer artículo dedicado a IDS Policy Manager no vamos a crear, de momento, ni localizaciones ni grupos. Lo trataremos más adelante. Ahora vamos a comprender su funcionamiento, crear un sensor y un grupo de políticas.

Creación de una Policy.

policy3.jpg

policy4.jpg

policy5.jpg

policy6.jpg

Pulsamos OK y nos aparecerá una ventana en la cual configuraremos la ubicación de la plantilla que usaremos para la politica que estamos creando. Esta politica la sacamos de un fichero snort.conf en local (Local File) o de un host remoto (HTTP). En este caso y para el ejemplo lo sacaremos de una ubicación local.

policy7.jpg

Pulsamos Start para iniciar el procedimiento de lectura del fichero snort.conf y creación de la policy Política primaria.

Una vez terminado este procedimiento ya podemos desplegar el arbol correspondiente a nuestra política creada.

policy8.jpg

De esta forma podemos modificar o crear cualquier regla dentro de nuestra política configurada.

policy9.jpg

También es posible configurar cualquier preprocesador.

policy10.jpg

Podemos igualmente modificar variables y cualquier aspecto.

Acabamos de crear una politica, pero podemos crear varias dependiendo del sensor a aplicar. Como podemos configurar varios sensores o grupos de sensores dependiendo de objetivo, topologia de red, etc. esto significa tener varios snort.conf en local o en host remoto.

Ahora solo nos queda añadir el sensor y aplicar la politica a este sensor.

Añadir un sensor Snort.

Snort Sensor > Add sensor

policy11.jpg

policy12.jpg

Podemos configurar más aspectos. De momento esto es suficiente.

Ya tenemos nuestro sensor al que hemos aplicado la policy creada anteriormente.

policy13.jpg

Ahora suponemos que tenemos varias politicas y sensores. Modificamos una politica y queremos actualizar el sensor correspondiente con la politica aplicada. Simplemente no situamos sobre la politica, por ejemplo la de la pantalla de arriba, y con el botno derecho ejecutamos la opción Upload Policies to Sensory automáticamentese actualizará desde la base de datos interna de IDS Policy Manager el snort.conf del sensor al que está aplicada la politica politica primaria.

Si observamos el fichero snort.conf del sensor actualizado vemos que se a creado uno nuevo desde la Base de datos IDS Policy Manager con una estructura distinta.

Todos los artículos sobre IDS Policy Manager:

IDS Policy Manager. Configuración y Funcionamiento. Administración multiples sensores y politicas snort.

IDS Policy Manager. Configuración sensores snort remotos.

IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.


En sucesivos capítulos iremos profundizando en este administrador de politicas para snort.

Esta entrada fue publicada en IDS Policy Manager, Seguridad y redes, Snort y etiquetada , , , , , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s