Sobre herramietas que nos hacen la vida más facil con Snort, ya os he hablado aquí con la primera parte de IDS Policy Manager, con más profundidad en la parte 2 de IDS Policy Manager vimos la configuración de varios sensores remotos y otras configuraciones. También, vimos en IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2 la migración de la v2.2 a v3 y otros aspectos avanzados.
También vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestión de altertas con mysql….. y muy relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.
En esta ocasión:
Me llega la información sobre la nueva versión (2.0) pre release de Snorby (basado en Linux Ubuntu Server), con muchas mejoras y correcciones. Es pues el momento de comenzar a hablar de este front-end para Snort.
Ya disponible un artículo sobre Snorby 2.2.0: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6
Qué es Snorby.
Snorby es, como ya hemos comentado, un front-end para la gestión de alertas Snort basado en sensores. No es tan pontente como Honeynet Security Console con la gestión de sensores remotos, alta capacidad de configuración de alertas y reglas, la no necesidad de apache/mysql, oinkmaster, etc, pero su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas. Tiene mucha menos configuración y por tanto es más sencillo.
En resúmen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores y poco más. Eso si una interfaz intuitiva y moderna.
Descarga e instalación.
Podemos instalar Snorby de la forma más común que sería instalando cada un de sus componentes; apache2, mysql, oinkmaster, snorby, etc. Pero también podemos descargar una Snorby Virtual Appliance en un archivo .iso listo para usar como Live con una preconfiguración básica o, incluso, instalar en un disco duro. Nosotros en este caso y para ver como configurarlo, etc usaremos el modo Live.
Además, hay que decir que Snorby Virtual Appliance incluye una versión que no es la pre 2.0 de Snorby. La 2.0 la veremos má adelante.
Configuración básica de Snorby.
Una vez descargada la .iso y grabada en CD, arrancamos nuestra máquina con Snorby o mediante VMware Player, en mi caso con este ultimo.
Lo primero que nos aparece es una ventana indicando que no tenemos configurada la red. Le damos a ok y nos aparece otra ventana con dos opciones:
- DHCP
- StaticIP
En mi caso uso la configuración para IP estática y manual (en mi caso la IP 192.168.1.69), le damos a select con la opción seleccionada e introducimos los datos y apply. Nos apareceré la pantalla anterior y varias opciones. En mi caso lo dejo como está y le doy a Back.
Se nos informa de las formas de acceso a Snorby: por http para la interface o SSH/SFTP.
Ya tenemos la información y si podemos dar a Quit. Listo.
Ahora podemos acceder a la interface desde un navegador y desde cualquier máquina de nuestra red desde https://192.168.1.69:8080/, introducir el usuario y pass Snorby / admin y ya estamos dentro, pero aún nos queda, para que funcione, algunos retoques más.
Por ejemplo, no tenemos configurado Snort, las reglas etc, para ello:
nano /etc/snort/snort.conf
cambiamos lo que sea necessario según nuestras necesidades, activar las reglas que queramos, variables, etc. Hace ya varias años 2003 (mi antiguo blog) y 2007 en este, que hablamos sobre Snort:
- Sistemas de Detección de intrusos y Snort. (I)
- Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I).
- Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas.
- Oinkmaster. Actualizando las reglas Snort.
- Snort
una vez realizado esto:
salvamos con F2, Yes y Enter.
Iniciamos el servicio snort:
/etc/init.d/snort start
cualquier cambio en snort.conf debe ir precedido de un reinicio del servicio, antes un stop, etc:
/etc/init.d/snort restart / stop / start
Bien, con esto, tenemos configurado de forma básica Snort. Ahora vamos a ejecutarlo de la forma:
snort -D -i eth0 -u snorby -c /etc/snort/snort.conf
Desde el navegador introducimos la dirección donde se encuentra nuestro snorby: https://192.168.1.69:8080/ e introducimos el Login Snorby y el Password admin, hacemos login y entramos en el Dashboard.
Si hay algún problema, modemos hacer una serie de comprobaciones. Para ello introducimos la linea de snort siguiente:
snort -i eth0 -u snorby -c /etc/snort/snort.conf (sin -D)
Con lo que snort nos informará si hay algún error. Normalmente suelen ser errores de mysql, variables o rules (reglas) que no encuentra.
El Dashboard es la pantalla principal de Snorby, donde se centralizan las alertas, gráficas, etc. Pero antes tenemos que ir a Setting:
- En My Setting para cambiar la cuenta, password, etc
- Add / Remove User para añadir usuarios y roles
Navegando por la interface Snorby.
Una vez que tenemos alguna alerta:
en el Dashboard tenemos completa información de las alertas, gráficas, cladificación según categorias y niveles de severidad, estadísticas,..todo con sus enlaces para más información:
Poco más. Cuestión de navegar e ir mirando…
Últimos retoques.
Tenemos que configurar Oinkmaster para la actualización de las reglas. Ya lo viemoa aquí:
Oinkmaster Actualizando las reglas Snort
Además de configurar el script /usr/local/bin/updatesnortrules
que contiene la línea:
/usr/sbin/oinkmaster -o /etc/snort/rules -s
Resolución de errores.
Es posible que en algún caso se de un error, por parte de Snort, en la conexión con mysql. Si es así, hay que cambiar el orden de la línea output mysql de snort.conf para dejarla de esta manera:
output database: alert, mysql, user=snorby password=snorby dbname=snorbydb host=IP
Si os surge algún error más, lo vamos viendo…
Relacionado:
Ya disponible un artículo sobre Snorby 2.2.0: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6
====================
y hasta aquí por hoy. Hasta la próxima…
Grandioso alfonn, llevo tiempo intentando arrancar con snorby y gracias a donde dice resolucion de errores he visto la luz. gracias
COmo podria instalar SNORBY pero sin usar .ISO??
Estoy preparando más material para Snorby. Trataré también este tema.
Hey – good write up. How come you chose to use Snorby 1.3.x and not the new 2.0.0 release?
Mephux, Yes, If. Soon a new article on Snorby 2.0.2.
Pingback: Instalar SNORT / Barnyard2 / Mysql / Apache2 / BASE En Ubuntu server 14.04 | Administración y Diseño de Redes Departamentales