Snortalog. Analizando los logs de Snort.

Hasta ahora hemos visto como configurar Snort, crear reglas, crear reglas I , actualizar sensores remotos, actualizar reglas, etc. Damos un paso más en este artículo para estudiar las diversas herramientas de análisis de los logs de Snort. Herramientas que nos facilitarán un estudio más completo, estadístico y comprensible de las alertas almacenadas en alert.ids. La primera herramienta que vamos a estudiar es Snortalog.

snortalog_0.jpg

Snortalog es un script de perl que tras analizar el archivo alert.ids creará un informe personalizado, con gráficos y dividido en secciones correspondientes a los ataques por hora, por métodos, IP origen, protocolos, puerto de destino, etc. Tambíen incluye estadísticas y gráficos con codigo de colores según la importancia de ataque sufrido.

Los pasos a seguir lo resumimos en:

  • Instalación de ActivePerl
  • Descarga e instalación de Snortalog
  • Instalación de las librerías necesarias
  • Ejecución de Snortalog

Instalación de ActivePerl.

Para ello lo primero que tenemos que hacer es descargar e instalar ActiverPerl desde aquí.

La instalación es muy sencilla y no requiere explicación alguna. Solo hay que seguir las indicaciones y el programa de instalación se encargará de el resto, además de las variables de entorno necesarias.

Descarga e instalación de Snortalog.

Descargamos Snortalog desde aquí. Una vez descargado volcamos el contenido en C:\snort\snortalog

Instalación de las librerías necesarias.

Snortalog para funcionar necesita una serie de librerías de Perl. Estas librerías son las siguientes:

Generación de gráficos:

  • GD-1.19.tar.gz
  • GDGraph-1.39.tar.gz
  • GDTextUtil-0.85.tar.g
  • Generación de informe en PDF:

  • htmldoc-1.8.23-source.tar.gz
  • HTML-HTMLDoc-0.07.tar.gz
  • Existen varias formas para instalar dichas librerías. Vamos con una de ellas, quizás la más sencilla.

    En Inicio > Ejecutar, introducimos lo siguiente: ppm

    Con lo que se nos desplegará un gestor de librerías de Perl, el Perl Package Manager:

    snortalog_1.jpg

    En gris tenemos los paquetes no instalados y en color los instalados. Solo tenemos que buscar la librería a instalar > botón derecho del ratón e Install… Marcamos todos los paquetes a instalar y pulsamos el botón:

    snortalog_2.jpg

    Instalación completada.

    Puede ser que alguna librería no aparezca en el listado, lo ha sido posible si instalación a mano o simplemente una instalación incorrecta. Es el posible caso de la librería GD. Para instalara esta librería introducimos el repositorio de donde lo descargaremos:

    http://theoryx5.uwinnipeg.ca/ppms/GD.ppd

    Lo haremos desde:

    snortalog_3.jpg

    Se abre una ventana para introducir los datos del repositorio y la descripción. Y en mi caso lo llamé GD:

    snortalog_4.jpg

    Pulsamos Add y ya está añadido.

    En el listado de Perl Package Manager buscamos GD y lo instalamos.

    También podemos hacer las instalación de la librería de la forma:

    Inicio > Ejecutar > ppm install http://theoryx5.uwinnipeg.ca/ppms/GD.ppd

    Ejecución de Snortalog.

    Ya tan solo nos resta ejecutar Snortalog para crear nuestro informe. La sintáxis depende de la ubicación de Snort y las alertas. Podemos crear varios tipos de informes, por ejemplo:

    • -dst Por IP destino
    • -attack Por ataques
    • -hour Distribución de ataques por horas
    • -portscan Por scan de puertos
    • …….
    • -report Informe completo. (La mejor opción)

    La lectura de los logs depende de la forma en que hayamos ejecutado Snort para crear las alertas, es decir -Fast, -Full, o Syslog. Recordemos para ellos los modos de alertas aquí.

    • -1 Para lectura de alert.ids en modo alerta rápida (-Fast)
    • -2 Para lectura de alert.ids en modo alerta completa (-Full)
    • -3 Para lectura de alert.ids en modo alerta syslog

    Otros parámetros a indicar a Snortalog son:

    • -o Especifica fichero html o PDF para el informe
    • -r Resolución de dirección IP
    • -i Invertir los resultados
    • -g formato salida gráfica que puede ser -g gif ó -g jpg

    Ejecutando Snortalog.

    Personalizar según ubicación de snort, alert.ids, etc.

    snortalog

    Notar que en este caso usé la opción -1 porque use la alerta rápida en Snort.

    Dependiendo de la cantidad de información contenida en alert.ids el proceso será más rápido o más lento. Cuando Snortalog termine la creación del informe, solo tenemos que abrir el html index.html para ver el informe completo de varias páginas:

    informe snortalog

    Para la creación de informes .PDF en windows descargar HTMLdocs de:

    http://xmlrad.com/Downloads/HTMLDOC.exe

    Creación de un informe completo en formato ASCII:

    C:\Snort\snortalog>type c:\snort\log\alert.ids | Perl c:\snort\snortalog\snortal
    og.pl -r -n 30 -1 -report

    Si añadimos al final > informe.txt :

    snortalog_7.jpg

    Canalizaremos y volcaremos el informe en un fichero de texto para su mejor manipulación.


    Esta entrada fue publicada en Seguridad y redes, Snort y etiquetada , , , , , , , , , , . Guarda el enlace permanente.

    3 respuestas a Snortalog. Analizando los logs de Snort.

    1. Irvin dijo:

      saludos:
      bueno mi pregunta es como puedo puedo utizar snort, dado que tengo que presentarlo en mi tema para titulacion y la verdad lo desconosco por completo necesito de su ayuda y le agradeceria mucho a quien me ayude.

    2. José Luis dijo:

      Hola man, mira yo también me interese mucho en este tema, y en internet hay una sin finidad de información acerca de Snort, pero para darte una mano prueba con este link (buen inicio):
      http://seguridadyredes.nireblog.com/post/2007/12/28/sistemas-de-deteccion-de-intrusos-y-snort-i
      Espero les sirva a todos; Ciao

    3. David dijo:

      Hola, se que revivo un tema viejo y muerto, pero no encuentro por ningún lado otros manuales de snortalog en español, tendrás alguna guía de como instalarlo y configurarlo para debían?

    Responder

    Introduce tus datos o haz clic en un icono para iniciar sesión:

    Logo de WordPress.com

    Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

    Imagen de Twitter

    Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

    Foto de Facebook

    Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

    Google+ photo

    Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

    Conectando a %s