Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

Ya vimos, sobre Snorby, como instalarlo a través de Snorby Virtual Appliance y una breve explicación de su funcionamiento, configuración y resolución de problemas.

En estra ocasión vamos a instalar el Appliance correspondiente a la versión Snorby 2.2.1 a través de Insta-Snorby 0.6. Esta versión es mucho más estable, flexible, avanzada y se corrigen diversos bugs de versiones anteriores. Además, prácticamente no necesita configuración. Con los datos aportados en su instalación es suficiente, independientemente de la configuración de snort.conf.

Snorby 2.0.1 insta-snorby 0.5

Instalación con Insta-Snorby 0.6

Una vez descargada la appliance y desde VMware Player, por ejemplo, cargamos la .iso. Antes modificamos la configuración de hardware según nuestras necesidades (en mi caso Bridget).

Descargamos la .iso desde aquí:

Snorby en su instalación nos hará una serie de preguntas relativas a passwords de root, password mysql y configuración de red. Tambíen datos sobre Oink Code, y otros relativos a Snort.

En la primera pantalla :

instalacion snorby appliance

antes del Install to hard disk, elegimos el Keymap con F3.

Los siguiente pasos importantes serán:

  • Configuración de área geográfica y zona horaria
  • Introducción de nuestro Oink Code.
  • Habilitar Pulled Pork (hablaremos de ello en otro artículo) para la actualización de reglas snort o snort rules.
  • Configuración de Red. Que puede ser con IP dinámica o estática (en mi caso la última).
  • reiniciamos y si todo está bien debe aparecer las formas de conexión y acceso a la interface Snorby Dashboard:

snorby accesos a dasboard y ssh

Configuración de Snorby.

Modificación del usuario por defecto.

En la interface introducimos el usuario y password por defecto que son snorby@snorby.org / snorby. Pero como buena práctica lo cambiaremos en:

  • Setting sobre todo el password:

snorby setting cambiar el password administrador

Aún así, podemos crear otros usuarios sin el rol de administrador. si pulsamos el botón rojo rectangular Administration, tenemos un menú a la derecha: Administrator Menu:

  • General Setting (el lugar donde nosencontramos al pulsar Administration)
  • Classifications IDs de clsassificación de eventos
  • Sensors Lista de sensores
  • Severities Clasificación por rango de importancia de eventos. Se puede editar.
  • Users gestión de usuario
  • Worked & Job Queue trabajos programados.. (lo veremos más adelante).

snorby_01_05.png

Usando Snorby.

Aquí no me detendré mucho.  Es tan intuitivo y facil que tan solo tendréis que trastear un poco para ver todo lo que puede ofrecer este front-end para alertas Snort.

Una vez instalado,a los 30 minutos ya podremos ver en Dashborad los datos de los eventos, estádisticas , etc:

Snorby Dashboard

Acabo de realizar un scan nmap a algunos puertos, el puerto SSH. Si vamos a Eventos y elegimos uno de ellos:

Snorby. Editar un evento.

Ya os digo que es muy intutitivo, así que a trastear…

Exportar reportes a PDF.

En Dasboard tenemos, a la derecha More Options. Se desplegará una serie de opciones… entre ellas:

  • Export to PDF.

Exportará a pdf y en varias páginas un reporte de sensores, estádisticas, gráficas, IPs destino y origen de alertas, etc  correspondientes al día en curso.

Algunas notas y sobre resolución de problemas con Snorby.

Es posible que la interface que seleccione Snorby sea lo y no eth0 / eth1, lo podemos arreglar editando el archivo 88snortstart que se encuentra en:

  • /usr/lib/inithooks/everyboot.d/88snortstart

Snorby modificar 88snortstart interface sensor

y sustituiremos lo por lo que proceda, en micaso eth0.

También tendríamos que modificar la interface en:

  • /etc/snort/barnyard2.conf

Y reboot.

Cuando invoquemos la URL de la interface Snorby / Dashbord, veremos que ya tenemos nuestra interface, en mi caso, eth0.

Snorby captura los paquetes pero actualiza cada cierto tiempo. En el Dashboard veréis una línea: Last Updated con fecha y hora de última actualización.

El Dashboard se actualiza cada 30 minutos sin posibilidad de ser configurado. Esto es así para un correcto almacenaje en caché. Podemos comprobar que los datos se están guardando en la base de datos MySQL de una forma muy simple, por ejemplo:

  1. # mysql -u root -p
  2. show databases;
  3. use snorby;
  4. show tables;
  5. select * from event;

Algunos enlaces relacionados en Seguridad y Redes:

Otros de Artículos sobre Snort:

==============================

Y hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Seguridad y redes, Snorby, Snort. Guarda el enlace permanente.

5 respuestas a Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

  1. mephux dijo:

    This is a very good blog post/run down on the snorby features and UI. I would love to see you do a follow up post on the openFPC features and full packet capture.

  2. Alfon dijo:

    Thank yo mephux. There will be an article on openFPC.

  3. mbaltazar dijo:

    Hola que tal estoy probando la herramienta, solo tengo una duda, si utilizo dos interfaces de red una conectada al puerto mirror y otra para la administración,no esta censando, ¿cuál prodría ser el problema?

  4. Alfon dijo:

    mbaltazar, creo que si hay una manera. Tengo que mirarlo y te respondo.

  5. mbaltazar dijo:

    Hola que tal Alfon ya funcionó, al estar trabajando con Vmware infraestructure el problema se presentó al migrar la máquina virtual, ya que las direcciones físicas se modifican, por lo que hay que editar los archivos:
    /etc/udev/rules.d/70-persistent-net.rules
    /etc/sysconfig/network-scripts/ifcfg-eth0
    /etc/sysconfig/network-scripts/ifcfg-eth1
    Ahora tengo otro problema
    Al editar el archivo de configuración emergency.conf, en este caso solo estoy comentando algunas reglas para adaptarlo a mis necesidades, pero al
    reiniciar la máquina deja de censar y aun no encuentro cual es la causa.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s