Oinkmaster. Actualizando las reglas Snort.

Ya hemos visto en el artículo dedicado a IDS Policy Manager aquí y aquí como, entre otras cosas, podemos actualizar las reglas de varios sensores Snort remotos. Ahora vamos a algo más simple. Vamos a actualizar las reglas Snort de una forma más sencilla a través de Oinkmaster, un script de perl que nos facilita dicha operación. Al ser un sript de perl tenemos varias opciones para ejecutar Oinkmaster en un sistema Windows. Por su facilidad usaremos ActivePerl.

 

snort_sm.jpg

Para ello lo primero que tenemos que hacer es descargar e instalar ActiverPerl desde aquí.

La instalación es muy sencilla y no requiere explicación alguna. Solo hay que seguir las indicaciones y el programa de instalación se encargará de el resto, además de las variables de entorno necesarias.

Descarga de Oinkmaster.

La realizaremos desde aquí. Descomprimimos el archivo oinkmaster-2.0.tar.gz y volcamos el contenido, por ejemplo, en c:\Snort\oinkmaster.

Abrimos el archivo de configuración oinkmaster.conf y nos encontramos con una parte de la configuración donde indicaremos de que repositorio descargaremos las reglas Snort para se actualización:

oinkmaster.conf

Como vemos tenemos varios repositorios. Aquí hemos descomentado para activar el repositorio Snort-current en linea correspondiente:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/ oinkcode /snortrules-snapshot-CURRENT.tar.gz

En el hueco oinkcode que he dejado hay que introducir nuestro oinkcode.

Obtendremos nuestro Oink Code tras el registro como usuario en la página oficial de Snort, una vez registrados y logeados, al final de la página de registro nos aparecera una cadena alfanumérica. Este es nuestro oinkcode:

Oink code

Para terminar ya solo nos queda introducir:

oink_1.jpg

Como vemos arriba, en las tres últimas lineas, oinkcode carga el archivo de configuración y descarga el fichero comprimido con las reglas actualizadas.

oink_2.jpg

Vemos arriba como va actualizando las reglas (old) y (new), y al final nos hará un informe de lo realizado:

oink_3.jpg

Con esto ya tenemos en nuestra carpeta C:\snort\rules actualizadas nuestras reglas.

Hay que tener en cuenta que en nuestro fichero de configuración snort.conf en C:\snort\etc tenemos que tener activas (descomentadas) las reglas actualizadas o en el caso de descargar y actualizar archivos de reglas de otro repositorio tenerlas también activas y con la variable RULE_PATH correcta:

Tenemos por defecto:

var RULE_PATH c:\snort\rules

Para incluir otras carpetas:

include RULE_PATH c:\snort\rules\nuevas


Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , , , , , . Guarda el enlace permanente.

Una respuesta a Oinkmaster. Actualizando las reglas Snort.

  1. flor40 dijo:

    y paara debian como le hago, porfabor la explicacion mas para novatos gracias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s