IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.

Ya vimos en la primera parte de IDS Policy Manager que:

IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.

IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.

Con más profundidad en la parte 2 de IDS Policy Manager vimos la configuración de varios sensores remotos y otras configuraciones.

También vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestión de altertas con mysql….. y muy relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.

Nuevo IDS Policy Manager. Dashboard

En esta ocasión, vamos a actualizar, mediante una serie de herramientas implementadas en IDS Policy Manager, desde la versión v2.2 a la versión v3. También crearemos un nuevo sensor y veremos una de las novedades de esta versión: el DashBoard y la nueva ventana de creación y modificación de snort rules o reglas snort.

Actualización de IDS Policy Manager v3.

NOTA: Es conveniente realizar copia de seguridad de nuestras rules, snort.conf y cualquier configuración de snort, ya que IDS Policy Manager modificará dichos archivos.

Si ya teníamos instalada, configurada y en producción la versión v2.2, al abrir el Manager, se nos desplegará una ventana de aviso para la actualización con las mejores aplicadas, ademas de bugs ya tratados:

IDS Policy Manager v3 aviso de actualización desde v2.2

Un aviso para actualizar la localización de las reglas que definimos en Update Locations:

IDS Policy Manager v3 aviso de actualización desde v2.2

Y se actualizan:

IDS Policy Manager v3 aviso de actualización desde v2.2

En Options > Settings veremos que se actualizón incluso nuestro Oink Code.

Las políticas y sensores se pueden actualizar desde Options > Import Policies and Sensors:

IDS Policy Manager v3 aviso de actualización desde v2.2

IDS Policy Manager v3 aviso de actualización desde v2.2

IDS Policy Manager v3 aviso de actualización desde v2.2

Con estos pasos ya tenemos actualizado nuestro IDS Policy Manager desde la versión v2.2 a v3:

IDS Policy Manager v3 aviso de actualización desde v2.2

La configuración y uso de IDS Policy Manager ya lo vimos en estas dos entradas:

Relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.

DashBoard. Paneles de información.

En la ventana principal tenemos el DashBorad, ventana dividida en 4 paneles informativos:

IDS Policy Manager v3

  • Panel 1. Información sobre los sensores
  • Panel 2. Información sobre las políticas
  • Panel 3. Gráfica sobre actualización de reglas
  • Panel 4. Un Top Ten de reglas del día anterior, semana y últimos 30 días.

Creación de un nuevo sensor.

Desde Snort Sensors > Add Sensor

IDS Policy Manager v3 añadir, crear nuevo sensor

Pestaña Upload Setting para ubicación del snort.conf:

IDS Policy Manager v3 añadir, crear nuevo sensor

Autentificación del host donde se ubica el sensor:

IDS Policy Manager v3 añadir, crear nuevo sensor

Ya tenemos nuestro nuevo sensor creado. Está activado pero no preparado para trabajar. Hay que “volcar” las políticas para el nuevo sensor:

IDS Policy Manager v3 añadir, crear nuevo sensor

Para ello nos situamos en el sensor y con el botón derecho del ratón.. Upload Policies to Sensor, marcamos los sesores o sensor a actualizar o volcar políticas y Start. Se realiza el proceso…..:

IDS Policy Manager v3 añadir, crear nuevo sensor

Una vez terminado:

IDS Policy Manager v3 añadir, crear nuevo sensor

Entonces ya podemos trabajar con el nuevo Snort sensor. En nuestro caso, vamos a modificar, en el preprocesador stream5 que ya vimos en su momento aquí.

IDS Policy Manager v3 añadir, crear nuevo sensor

Cambiando los valores de configuración del preprocesador stream5 en las políticas que hemos denominado FW, modificamos dichos valores para todos los sensores dependientes de la política FW.

Creación y configuración de reglas Snort Policies.

Existen algunas diferencias entra la ventana de creación y modificación de reglas snort entr la versión v2.2 y v3.

Versión v2.2:

policy9.jpg

Versión v3:

IDS Policy Manager v3 sonrt rules reglas

Entre los cambios tenemos:

  • Se añade una pestaña: Policies para ver a que poitica está configurada la regla.
  • Se añade Update Location para información de localizaciones de actualización de reglas.
  • Información sobre referencias de la regla o Reference.
  • Se añade versión de Snort de la regla.
  • Se añade fecha de última actualización.
  • Mejor gestión de la base de datos de almacenamiento de las políticas.
  • Se corrigen algunos fallos de versiones anteriores.

Todos los artículos sobre IDS Policy Manager:

IDS Policy Manager. Configuración y Funcionamiento. Administración multiples sensores y politicas snort.

IDS Policy Manager. Configuración sensores snort remotos.

IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.

Esta entrada fue publicada en IDS Policy Manager, Seguridad y redes, Snort y etiquetada , , , , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s