Snort. Snorby un front-end para análisis y gestión de alertas para Snort.

Sobre herramietas que nos hacen la vida más facil con Snort, ya os he hablado aquí con la primera parte de IDS Policy Manager, con más profundidad en la parte 2 de IDS Policy Manager vimos la configuración de varios sensores remotos y otras configuraciones. También, vimos en IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2 la migración de la v2.2 a v3 y otros aspectos avanzados.

También vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestión de altertas con mysql….. y muy relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.

En esta ocasión:

Me llega la información sobre la nueva versión (2.0) pre release de Snorby (basado en Linux Ubuntu Server), con muchas mejoras y correcciones. Es pues el momento de comenzar a hablar de este front-end para Snort.

Ya disponible un artículo sobre Snorby 2.2.0: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

Qué es Snorby.

Snorby es, como ya hemos comentado, un front-end para la gestión de alertas Snort basado en sensores. No es tan pontente como Honeynet Security Console con la gestión de sensores remotos, alta capacidad de configuración de alertas y reglas, la no necesidad de apache/mysql, oinkmaster, etc, pero su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas. Tiene mucha menos configuración y por tanto es más sencillo.

En resúmen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores y poco más. Eso si una interfaz intuitiva y moderna.

Descarga e instalación.

Podemos instalar Snorby de la forma más común que sería instalando cada un de sus componentes; apache2, mysql, oinkmaster, snorby, etc. Pero también podemos descargar una Snorby Virtual Appliance en un archivo .iso listo para usar como Live con una preconfiguración básica o, incluso, instalar en un disco duro. Nosotros en este caso y para ver como configurarlo, etc usaremos el modo Live.

Además, hay que decir que Snorby Virtual Appliance incluye una versión que no es la pre 2.0 de Snorby. La 2.0 la veremos má adelante.

Configuración básica de Snorby.

Una vez descargada la .iso y grabada en CD, arrancamos nuestra máquina con Snorby o mediante VMware Player, en mi caso con este ultimo.

Lo primero que nos aparece es una ventana indicando que no tenemos configurada la red. Le damos a ok y nos aparece otra ventana con dos opciones:

DHCP
StaticIP

En mi caso uso la configuración para IP estática y manual (en mi caso la IP 192.168.1.69), le damos a select con la opción seleccionada e introducimos los datos y apply. Nos apareceré la pantalla anterior y varias opciones. En mi caso lo dejo como está y le doy a Back.

Se nos informa de las formas de acceso a Snorby: por http para la interface o SSH/SFTP.

Ya tenemos la información y si podemos dar a Quit. Listo.

Ahora podemos acceder a la interface desde un navegador y desde cualquier máquina de nuestra red desde https://192.168.1.69:8080/, introducir el usuario y pass Snorby / admin y ya estamos dentro, pero aún nos queda, para que funcione, algunos retoques más.

Por ejemplo, no tenemos configurado Snort, las reglas etc, para ello:

nano /etc/snort/snort.conf

cambiamos lo que sea necessario según nuestras necesidades, activar las reglas que queramos, variables, etc. Hace ya varias años 2003 (mi antiguo blog) y 2007 en este, que hablamos sobre Snort:

una vez realizado esto:

salvamos con F2, Yes y Enter.

Iniciamos el servicio snort:

/etc/init.d/snort start

cualquier cambio en snort.conf debe ir precedido de un reinicio del servicio, antes un stop, etc:

/etc/init.d/snort restart / stop / start

Bien, con esto, tenemos configurado de forma básica Snort. Ahora vamos a ejecutarlo de la forma:

snort -D -i eth0 -u snorby -c /etc/snort/snort.conf

Desde el navegador introducimos la dirección donde se encuentra nuestro snorby: https://192.168.1.69:8080/ e introducimos el Login Snorby y el Password admin, hacemos login y entramos en el Dashboard.

Si hay algún problema, modemos hacer una serie de comprobaciones. Para ello introducimos la linea de snort siguiente:

snort -i eth0 -u snorby -c /etc/snort/snort.conf (sin -D)

Con lo que snort nos informará si hay algún error. Normalmente suelen ser errores de mysql, variables o rules (reglas) que no encuentra.

El Dashboard es la pantalla principal de Snorby, donde se centralizan las alertas, gráficas, etc. Pero antes tenemos que ir a Setting:

En My Setting para cambiar la cuenta, password, etc
Add / Remove User para añadir usuarios y roles

Navegando por la interface Snorby.

Una vez que tenemos alguna alerta:

en el Dashboard tenemos completa información de las alertas, gráficas, cladificación según categorias y niveles de severidad, estadísticas,..todo con sus enlaces para más información:

Poco más. Cuestión de navegar e ir mirando…

Últimos retoques.

Tenemos que configurar Oinkmaster para la actualización de las reglas. Ya lo viemoa aquí:

Oinkmaster Actualizando las reglas Snort

Además de configurar el script /usr/local/bin/updatesnortrules

que contiene la línea:

/usr/sbin/oinkmaster -o /etc/snort/rules -s

Resolución de errores.

Es posible que en algún caso se de un error, por parte de Snort, en la conexión con mysql. Si es así, hay que cambiar el orden de la línea output mysql de snort.conf para dejarla de esta manera: