Honeynet Security Console. Analizando logs y eventos de Snort ( I Parte ).

Ya hemos estudiado como analizar los logs producidos por Snort con herramientas como Snortalog, administrar políticas y sensores Snort con IDS Policy Manager, actualizar los reglas con Okimaster, gestión de altertas con mysql, etc. En esté artículo vamos a usar Honeynet Security Console para centralizar y administrar eventos procedentes de Snort.

Y no solo de Snort, con HSC podemos administrar otros eventos procedentes de TCPDump, Firewall, Syslog, Sebek logs o una red de honeypots y correlacionar los eventos, mostrar gráficas, información detallada de cada evento, decodificación del payload….

Como siempre, vamos a dividir el estudio de Honeynet Security Console en varios capítulos, para, de esta forma, ir complicando su manejo comenzando por lo más básico.

Creación de la base de datos.

Al tratarse de una herramienta de tratamiento de eventos enviado por los diferentes programas, tales como Snort, TCPDump, etc, necesita una base de datos. Para comenzar podemos usar la tipica base de datos snort, cuya creación está ámpliamente documentada en la red. De todas formas aquí tratamos este tema.

Una vez creada la base de datos, pasamos al asiguiente fase.

Configurando Snort para el envío de eventos a la base de datos. Ejecutanado Snort.

Tendremos que descomentar y personalizar la línea del archivo snort.conf para el envío de eventos y altertas a la base de datos creada:

# database: log to a variety of databases
# —————————————
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test

Realizamos el siguiente cambio:

Descomentamos:

# output database: log, mysql, user=root password=test dbname=db host=localhost

y los dejamos de esta forma:

output database: log, mysql, user=usuario password=password dbname=snort host=localhost

Ahora las alertas serán dirigidas a la base de datos.

Tener en cuenta que host=localhost cuando Snort lo ejecutamos en local. En remoto pondremos la IP que sea.

Para ejecutar esnort tan solo es neceario una línea tal como esta:

snort -i3 -l c:\snort\log -b -c c:\snort\etc\snort.conf

Donde -i# será la interfaz que pondremos a la escucha.

Logeo y Configuración básica de HSC.

Ejecutamos HSC:

Hacemos Login y añadimos una base de datos:

Rellenamos los campos teniendo en cuenta que hay que pulsar en el botón Fill Databases para escojer la base de datos del repositorio de mysql. En Host address pondremos la dirección del servidor mysql (localhost) o la dirección remota que sea:

Una vez introducidos entros datos, parecera la Base de datos. Si ya hemos usado HSC, aparecerán los sensores ya utilizados y que extrae de la base datos mysql, caso contrario, no aparecerá sensor alguno hasta que ejecutemos Snort en local o máquia remota contra nuestra base de datos.

Los sensores se identifican con nombremáquina/dispositivo_de_red

En este caso ya he usado la base de datos con dos sesores distintos:

Visualización de eventos.

Si pulsamos, en la imagen de arriba, el icono de la derecha (IDS), aparecerá la base de datos creada y una relación de itens correspondiente a todos los eventos del sensor activo. Tendremos, pues, una Relación de Eventos, Eventos únicos, gráfica según una clasificación por prioridades de la alterta, según la clasificacion de la alterta, Origen y destino de IPs, Origeny destino por puertos, protocolos, etc:

Podemos posicionarnos sobre un evento y HSC nos mostrará información detallada:

Información detallada del evento:

———————————————————————————

Bien, ya tenemos lo más básico. En el próximo capítulo avanzaremos en la configuración, gestionaremos varias bases de datos y sensores remotos, etc.