Ya vimos, sobre Snorby, como instalarlo a través de Snorby Virtual Appliance y una breve explicación de su funcionamiento, configuración y resolución de problemas.
En estra ocasión vamos a instalar el Appliance correspondiente a la versión Snorby 2.2.1 a través de Insta-Snorby 0.6. Esta versión es mucho más estable, flexible, avanzada y se corrigen diversos bugs de versiones anteriores. Además, prácticamente no necesita configuración. Con los datos aportados en su instalación es suficiente, independientemente de la configuración de snort.conf.
Instalación con Insta-Snorby 0.6
Una vez descargada la appliance y desde VMware Player, por ejemplo, cargamos la .iso. Antes modificamos la configuración de hardware según nuestras necesidades (en mi caso Bridget).
Descargamos la .iso desde aquí:
Snorby en su instalación nos hará una serie de preguntas relativas a passwords de root, password mysql y configuración de red. Tambíen datos sobre Oink Code, y otros relativos a Snort.
En la primera pantalla :
antes del Install to hard disk, elegimos el Keymap con F3.
Los siguiente pasos importantes serán:
- Configuración de área geográfica y zona horaria
- Introducción de nuestro Oink Code.
- Habilitar Pulled Pork (hablaremos de ello en otro artículo) para la actualización de reglas snort o snort rules.
- Configuración de Red. Que puede ser con IP dinámica o estática (en mi caso la última).
- reiniciamos y si todo está bien debe aparecer las formas de conexión y acceso a la interface Snorby Dashboard:
Configuración de Snorby.
Modificación del usuario por defecto.
En la interface introducimos el usuario y password por defecto que son snorby@snorby.org / snorby. Pero como buena práctica lo cambiaremos en:
- Setting sobre todo el password:
Aún así, podemos crear otros usuarios sin el rol de administrador. si pulsamos el botón rojo rectangular Administration, tenemos un menú a la derecha: Administrator Menu:
- General Setting (el lugar donde nosencontramos al pulsar Administration)
- Classifications IDs de clsassificación de eventos
- Sensors Lista de sensores
- Severities Clasificación por rango de importancia de eventos. Se puede editar.
- Users gestión de usuario
- Worked & Job Queue trabajos programados.. (lo veremos más adelante).
Usando Snorby.
Aquí no me detendré mucho. Es tan intuitivo y facil que tan solo tendréis que trastear un poco para ver todo lo que puede ofrecer este front-end para alertas Snort.
Una vez instalado,a los 30 minutos ya podremos ver en Dashborad los datos de los eventos, estádisticas , etc:
Acabo de realizar un scan nmap a algunos puertos, el puerto SSH. Si vamos a Eventos y elegimos uno de ellos:
Ya os digo que es muy intutitivo, así que a trastear…
Exportar reportes a PDF.
En Dasboard tenemos, a la derecha More Options. Se desplegará una serie de opciones… entre ellas:
- Export to PDF.
Exportará a pdf y en varias páginas un reporte de sensores, estádisticas, gráficas, IPs destino y origen de alertas, etc correspondientes al día en curso.
Algunas notas y sobre resolución de problemas con Snorby.
Es posible que la interface que seleccione Snorby sea lo y no eth0 / eth1, lo podemos arreglar editando el archivo 88snortstart que se encuentra en:
- /usr/lib/inithooks/everyboot.d/88snortstart
y sustituiremos lo por lo que proceda, en micaso eth0.
También tendríamos que modificar la interface en:
- /etc/snort/barnyard2.conf
Y reboot.
Cuando invoquemos la URL de la interface Snorby / Dashbord, veremos que ya tenemos nuestra interface, en mi caso, eth0.
Snorby captura los paquetes pero actualiza cada cierto tiempo. En el Dashboard veréis una línea: Last Updated con fecha y hora de última actualización.
El Dashboard se actualiza cada 30 minutos sin posibilidad de ser configurado. Esto es así para un correcto almacenaje en caché. Podemos comprobar que los datos se están guardando en la base de datos MySQL de una forma muy simple, por ejemplo:
- # mysql -u root -p
- show databases;
- use snorby;
- show tables;
- select * from event;
Algunos enlaces relacionados en Seguridad y Redes:
-
Snort. Enviado log a base datos mysql.
-
Snortalog. Analizando los logs de Snort.
-
Snort Logging mode. Modos de alerta.
-
Enviando alertas a un syslog remoto con snort.
Otros de Artículos sobre Snort:
==============================
Y hasta aquí por hoy. Hasta la próxima.
This is a very good blog post/run down on the snorby features and UI. I would love to see you do a follow up post on the openFPC features and full packet capture.
Thank yo mephux. There will be an article on openFPC.
Hola que tal estoy probando la herramienta, solo tengo una duda, si utilizo dos interfaces de red una conectada al puerto mirror y otra para la administración,no esta censando, ¿cuál prodría ser el problema?
mbaltazar, creo que si hay una manera. Tengo que mirarlo y te respondo.
Hola que tal Alfon ya funcionó, al estar trabajando con Vmware infraestructure el problema se presentó al migrar la máquina virtual, ya que las direcciones físicas se modifican, por lo que hay que editar los archivos:
/etc/udev/rules.d/70-persistent-net.rules
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/sysconfig/network-scripts/ifcfg-eth1
Ahora tengo otro problema
Al editar el archivo de configuración emergency.conf, en este caso solo estoy comentando algunas reglas para adaptarlo a mis necesidades, pero al
reiniciar la máquina deja de censar y aun no encuentro cual es la causa.