Snort. Snorby un front-end para análisis y gestión de alertas para Snort.

Sobre herramietas que nos hacen la vida más facil con Snort, ya os he hablado aquí con la primera parte de IDS Policy Manager, con más profundidad en la parte 2 de IDS Policy Manager vimos la configuración de varios sensores remotos y otras configuraciones. También, vimos en IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2 la migración de la v2.2 a v3 y otros aspectos avanzados.

También vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestión de altertas con mysql….. y muy relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.

En esta ocasión:

snorby_00_00.png

Me llega la información sobre la nueva versión (2.0) pre release de Snorby (basado en Linux Ubuntu Server), con muchas mejoras y correcciones. Es pues el momento de comenzar a hablar de este front-end para Snort.

Ya disponible un artículo sobre Snorby 2.2.0: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

Qué es Snorby.

Snorby es, como ya hemos comentado, un front-end para la gestión de alertas Snort basado en sensores. No es tan pontente como  Honeynet Security Console  con la gestión de sensores remotos, alta capacidad de configuración de alertas y reglas, la no necesidad de apache/mysql, oinkmaster, etc,  pero su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas. Tiene mucha menos configuración y por tanto es más sencillo.

En  resúmen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores y poco más. Eso si una interfaz intuitiva y moderna.

Descarga e instalación.

Podemos instalar Snorby de la forma más común que sería instalando cada un de sus componentes; apache2, mysql, oinkmaster, snorby, etc. Pero también podemos descargar una Snorby Virtual Appliance en un archivo .iso listo para usar como Live con una preconfiguración básica o, incluso, instalar en un disco duro. Nosotros en este caso y para ver como configurarlo, etc usaremos el modo Live.

Además, hay que decir que Snorby Virtual Appliance incluye una versión que no es la pre 2.0 de Snorby. La 2.0 la veremos má adelante.

Configuración básica de Snorby.

Una vez descargada la .iso y grabada en CD, arrancamos nuestra máquina con Snorby o mediante VMware Player, en mi caso con este ultimo.

Lo primero que nos aparece es una ventana indicando que no tenemos configurada la red. Le damos a ok y nos aparece otra ventana con dos opciones:

  • DHCP
  • StaticIP

En mi caso uso la configuración para IP estática y manual (en mi caso la IP 192.168.1.69), le damos a select con la opción seleccionada e introducimos los datos y apply. Nos apareceré la pantalla anterior y varias opciones. En mi caso lo dejo como está y le doy a Back.

Se nos informa de las formas de acceso a Snorby: por http para la interface o SSH/SFTP.

Ya tenemos la información y si podemos dar a Quit. Listo.

Ahora podemos acceder a la interface desde un navegador y desde cualquier máquina de nuestra red desde https://192.168.1.69:8080/, introducir el usuario y pass Snorby / admin y ya estamos dentro, pero aún nos queda, para que funcione, algunos retoques más.

Por ejemplo, no tenemos configurado Snort, las reglas etc, para ello:

nano /etc/snort/snort.conf

snorby configuracion snort conf

cambiamos lo que sea necessario según nuestras necesidades, activar las reglas que queramos, variables, etc. Hace ya varias años 2003 (mi antiguo blog) y 2007 en este, que hablamos sobre Snort:

una vez realizado esto:

salvamos con F2, Yes y Enter.

Iniciamos el servicio snort:

/etc/init.d/snort start

cualquier cambio en snort.conf  debe ir precedido de un reinicio del servicio, antes un stop, etc:

/etc/init.d/snort restart / stop / start

Bien, con esto, tenemos configurado de forma básica Snort. Ahora vamos a ejecutarlo de la forma:

snort -D -i eth0 -u snorby -c /etc/snort/snort.conf

Desde el navegador introducimos la dirección donde se encuentra nuestro snorby:  https://192.168.1.69:8080/ e introducimos el Login Snorby y el Password admin, hacemos login y entramos en el Dashboard.

Si hay algún problema, modemos hacer una serie de comprobaciones. Para ello introducimos la linea de snort siguiente:

snort -i eth0 -u snorby -c /etc/snort/snort.conf  (sin -D)

Con lo que snort nos informará si hay algún error. Normalmente suelen ser errores de mysql, variables o rules (reglas) que no encuentra.

El Dashboard es la pantalla principal de Snorby, donde se centralizan las alertas, gráficas, etc. Pero antes tenemos que ir a Setting:

snorby setting

  • En My Setting para cambiar la cuenta, password, etc
  • Add / Remove User para añadir usuarios y roles

Navegando por la interface Snorby.

Una vez que tenemos alguna alerta:

Snorby Dashboard

en el Dashboard tenemos completa información de las alertas, gráficas, cladificación según categorias y niveles de severidad, estadísticas,..todo con sus enlaces para más información:

snorby informacion de eventos y alertas

Poco más. Cuestión de navegar e ir mirando…

Últimos retoques.

Tenemos que configurar Oinkmaster para la actualización de las reglas. Ya lo viemoa aquí:

Oinkmaster Actualizando las reglas Snort

Además de configurar el script /usr/local/bin/updatesnortrules

que contiene la línea:

/usr/sbin/oinkmaster -o /etc/snort/rules -s

Resolución de errores.

Es posible que en algún caso se de un error, por parte de Snort,  en la conexión con mysql. Si es así, hay que cambiar el orden de la línea output mysql de snort.conf para dejarla de esta manera:

output database: alert, mysql, user=snorby password=snorby dbname=snorbydb host=IP

Si os surge algún error más, lo vamos viendo…

Relacionado:

Ya disponible un artículo sobre Snorby 2.2.0: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

====================

y hasta aquí por hoy. Hasta la próxima…

Esta entrada fue publicada en Seguridad y redes, Snorby, Snort. Guarda el enlace permanente.

6 respuestas a Snort. Snorby un front-end para análisis y gestión de alertas para Snort.

  1. Adrián T. dijo:

    Grandioso alfonn, llevo tiempo intentando arrancar con snorby y gracias a donde dice resolucion de errores he visto la luz. gracias

  2. Andres dijo:

    COmo podria instalar SNORBY pero sin usar .ISO??

  3. Alfon dijo:

    Estoy preparando más material para Snorby. Trataré también este tema.

  4. mephux dijo:

    Hey – good write up. How come you chose to use Snorby 1.3.x and not the new 2.0.0 release?

  5. Alfon dijo:

    Mephux, Yes, If. Soon a new article on Snorby 2.0.2.

  6. Pingback: Instalar SNORT / Barnyard2 / Mysql / Apache2 / BASE En Ubuntu server 14.04 | Administración y Diseño de Redes Departamentales

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s