Ya hemos estudiado como analizar los logs producidos por Snort con herramientas como Snortalog, administrar políticas y sensores Snort con IDS Policy Manager, actualizar los reglas con Okimaster, gestión de altertas con mysql, etc. En esté artículo vamos a usar Honeynet Security Console para centralizar y administrar eventos procedentes de Snort.
Y no solo de Snort, con HSC podemos administrar otros eventos procedentes de TCPDump, Firewall, Syslog, Sebek logs o una red de honeypots y correlacionar los eventos, mostrar gráficas, información detallada de cada evento, decodificación del payload….
Como siempre, vamos a dividir el estudio de Honeynet Security Console en varios capítulos, para, de esta forma, ir complicando su manejo comenzando por lo más básico.
Creación de la base de datos.
Al tratarse de una herramienta de tratamiento de eventos enviado por los diferentes programas, tales como Snort, TCPDump, etc, necesita una base de datos. Para comenzar podemos usar la tipica base de datos snort, cuya creación está ámpliamente documentada en la red. De todas formas aquí tratamos este tema.
Una vez creada la base de datos, pasamos al asiguiente fase.
Configurando Snort para el envío de eventos a la base de datos. Ejecutanado Snort.
Tendremos que descomentar y personalizar la línea del archivo snort.conf para el envío de eventos y altertas a la base de datos creada:
# database: log to a variety of databases
# —————————————
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test
Realizamos el siguiente cambio:
Descomentamos:
# output database: log, mysql, user=root password=test dbname=db host=localhost
y los dejamos de esta forma:
output database: log, mysql, user=usuario password=password dbname=snort host=localhost
Ahora las alertas serán dirigidas a la base de datos.
Tener en cuenta que host=localhost cuando Snort lo ejecutamos en local. En remoto pondremos la IP que sea.
Para ejecutar esnort tan solo es neceario una línea tal como esta:
snort -i3 -l c:\snort\log -b -c c:\snort\etc\snort.conf
Donde -i# será la interfaz que pondremos a la escucha.
Logeo y Configuración básica de HSC.
Ejecutamos HSC:
Hacemos Login y añadimos una base de datos:
Rellenamos los campos teniendo en cuenta que hay que pulsar en el botón Fill Databases para escojer la base de datos del repositorio de mysql. En Host address pondremos la dirección del servidor mysql (localhost) o la dirección remota que sea:
Una vez introducidos entros datos, parecera la Base de datos. Si ya hemos usado HSC, aparecerán los sensores ya utilizados y que extrae de la base datos mysql, caso contrario, no aparecerá sensor alguno hasta que ejecutemos Snort en local o máquia remota contra nuestra base de datos.
Los sensores se identifican con nombremáquina/dispositivo_de_red
En este caso ya he usado la base de datos con dos sesores distintos:
Visualización de eventos.
Si pulsamos, en la imagen de arriba, el icono de la derecha (IDS), aparecerá la base de datos creada y una relación de itens correspondiente a todos los eventos del sensor activo. Tendremos, pues, una Relación de Eventos, Eventos únicos, gráfica según una clasificación por prioridades de la alterta, según la clasificacion de la alterta, Origen y destino de IPs, Origeny destino por puertos, protocolos, etc:
Podemos posicionarnos sobre un evento y HSC nos mostrará información detallada:
Información detallada del evento:
———————————————————————————
Bien, ya tenemos lo más básico. En el próximo capítulo avanzaremos en la configuración, gestionaremos varias bases de datos y sensores remotos, etc.
Hola, ante todo felicitarte por tu página.
Una consulta a ver si tú sabes el error que me está dando:
Tengo el snort en un BT4 y mando la base de datos a un MySQL en un Windows7 a través de un cable directo entre ambos (la comunicación es perfecta entre ambas máquinas, no hay errores de conexión), la base de datos existe y todo perfecto. El problema es al abrir el Honey me dice que la tabla snort.servers no existe y no puedo conectarme:
«Error loggin into database.
Table snort.servers doesn´t exits».
He encontrado alguna posible solución como el «mysql_fix_privilege_tables.sql», pero nada.
Te agradecería tu ayuda.
Muchas gracias.
tengo la base de datos en ubuntu server 12.04 y cuando trato de entrar por HSC me da un error de «bad hanshake»…alguna solución?