Honeynet Security Console. Analizando logs y eventos de Snort ( I Parte ).

Ya hemos estudiado como analizar los logs producidos por Snort con herramientas como Snortalog, administrar políticas y sensores Snort con IDS Policy Manager, actualizar los reglas con Okimaster, gestión de altertas con mysql, etc. En esté artículo vamos a usar Honeynet Security Console para centralizar y administrar eventos procedentes de Snort.

Honeynet security Console (HSC). configuración y Administración. Snort

Y no solo de Snort, con HSC podemos administrar otros eventos procedentes de TCPDump, Firewall, Syslog, Sebek logs o una red de honeypots y correlacionar los eventos, mostrar gráficas, información detallada de cada evento, decodificación del payload….

Como siempre, vamos a dividir el estudio de Honeynet Security Console en varios capítulos, para, de esta forma, ir complicando su manejo comenzando por lo más básico.

Creación de la base de datos.

Al tratarse de una herramienta de tratamiento de eventos enviado por los diferentes programas, tales como Snort, TCPDump, etc, necesita una base de datos. Para comenzar podemos usar la tipica base de datos snort, cuya creación está ámpliamente documentada en la red. De todas formas aquí tratamos este tema.

Una vez creada la base de datos, pasamos al asiguiente fase.

Configurando Snort para el envío de eventos a la base de datos. Ejecutanado Snort.

Tendremos que descomentar y personalizar la línea del archivo snort.conf para el envío de eventos y altertas a la base de datos creada:

# database: log to a variety of databases
# —————————————
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test

Realizamos el siguiente cambio:

Descomentamos:

# output database: log, mysql, user=root password=test dbname=db host=localhost

y los dejamos de esta forma:

output database: log, mysql, user=usuario password=password dbname=snort host=localhost

Ahora las alertas serán dirigidas a la base de datos.

Tener en cuenta que host=localhost cuando Snort lo ejecutamos en local. En remoto pondremos la IP que sea.

Para ejecutar esnort tan solo es neceario una línea tal como esta:

snort -i3 -l c:\snort\log -b -c c:\snort\etc\snort.conf

Donde -i# será la interfaz que pondremos a la escucha.

Logeo y Configuración básica de HSC.

Ejecutamos HSC:

login HSC Honeynet Security Console

Hacemos Login y añadimos una base de datos:

añadir Base Datos Honeynet Security Console. Snort.

Rellenamos los campos teniendo en cuenta que hay que pulsar en el botón Fill Databases para escojer la base de datos del repositorio de mysql. En Host address pondremos la dirección del servidor mysql (localhost) o la dirección remota que sea:

Add Event database. Honeynet Security Console para Snort.

Una vez introducidos entros datos, parecera la Base de datos. Si ya hemos usado HSC, aparecerán los sensores ya utilizados y que extrae de la base datos mysql, caso contrario, no aparecerá sensor alguno hasta que ejecutemos Snort en local o máquia remota contra nuestra base de datos.

Los sensores se identifican con nombremáquina/dispositivo_de_red

En este caso ya he usado la base de datos con dos sesores distintos:

hsc_04.jpg

hsc_05.jpg

Visualización de eventos.

Si pulsamos, en la imagen de arriba, el icono de la derecha (IDS), aparecerá la base de datos creada y una relación de itens correspondiente a todos los eventos del sensor activo. Tendremos, pues, una Relación de Eventos, Eventos únicos, gráfica según una clasificación por prioridades de la alterta, según la clasificacion de la alterta, Origen y destino de IPs, Origeny destino por puertos, protocolos, etc:

Visualización de eventos. Honeynet Security Consolo para Snort.

Podemos posicionarnos sobre un evento y HSC nos mostrará información detallada:

mostrar información detallada del evento. HSC

Información detallada del evento:

hsc_08.jpg

———————————————————————————

Bien, ya tenemos lo más básico. En el próximo capítulo avanzaremos en la configuración, gestionaremos varias bases de datos y sensores remotos, etc.

Esta entrada fue publicada en Seguridad y redes y etiquetada , , , , , . Guarda el enlace permanente.

2 respuestas a Honeynet Security Console. Analizando logs y eventos de Snort ( I Parte ).

  1. alvaro dijo:

    Hola, ante todo felicitarte por tu página.
    Una consulta a ver si tú sabes el error que me está dando:
    Tengo el snort en un BT4 y mando la base de datos a un MySQL en un Windows7 a través de un cable directo entre ambos (la comunicación es perfecta entre ambas máquinas, no hay errores de conexión), la base de datos existe y todo perfecto. El problema es al abrir el Honey me dice que la tabla snort.servers no existe y no puedo conectarme:
    “Error loggin into database.
    Table snort.servers doesn´t exits”.
    He encontrado alguna posible solución como el “mysql_fix_privilege_tables.sql”, pero nada.
    Te agradecería tu ayuda.
    Muchas gracias.

  2. alex dijo:

    tengo la base de datos en ubuntu server 12.04 y cuando trato de entrar por HSC me da un error de “bad hanshake”…alguna solución?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s