Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Instalación y activación de OpenFPC

Ya hemos visto como instalar y usar Snorby 2.2.1 aquí: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

Sin embargo, no llegamos a activar una de las funcionalidades de Snorby que es OpenFPC.  ¿ Pero qué es OpenFPC ?. Se trata de una serie de herramientas para gestión, entre otros, de archivos de captura en formato .pcap además de otras funcionalidades. Aquí lo usaremos para exportar los eventos de las alertas en formato .pcap y de esta menera, por ejemplo, abrir con Wireshark eventos, conjuntos de eventos personalizados, etc.

Instalando OpenFPC.

Aunque durante la instalación no lo hayamos activado, el .tgz lo tenemos descargado y descomprimido. Si hacemos un ls veremos que aparece un archivo:

• openfpc-0.4-267

Así que:

• cd openfpc-0.4-267
• ./openfpc-install.sh install

Durante el install se nos pedirá un usuario y password para OpenFPC, en mi caso usé openfpc / openfpc.

Una vez hecho esto iniciamos OpenFPC:

• openfpc –action start

A continuación iniciamos openfpc-client para verificar las comunicaciones, además de usuario y contraseña de la forma:

• openfpc-client -a status

OK. Todo correcto.

Ahora tenemos que activar OpenFPC en la interface gráfica de Snorby, asíu que una vez en el Dashboard, tenemos que ir hasta aquí: Administración:

Lo dejamos como en la captura de pantalla. Activamos OpenFPC, Packet Capture Auto-authenticate y añadimos la URL:

• https://xxx.xxx.xxx.xxx/openfpc/cgi-bin/extract.cgi 

Donde xxx.xxx.xxx.xxx es la IP donde tenemos ubicado nuestro Snorby.

Ya solo nos queda introducir el usuario y contraseñay Save setting.
Si navegamos porla interface hasta uno de los eventos y pulsamos sobre el, veremos que tenemos un nuevo botón: Packet Capture Options.

Pulsando sobre una de las opciones (recuadro rojo), por ejemplo Source (1 Hour):

¿ Todo correcto ?. Puede ser que no. Lo vemos…

Resolución de errores.

Vaya….. al parecer Wireshark abre el archivo .pcap pero no sale nada. ¿ Como puede ser esto ?. ¿ Dónde está el problema ?.

Os recuerdo que, en el anterior artículo (Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6), cuando instalamos Snorby 2.2.1 con Insta-Snorby 0.6, este solo reconocia la interface lo. Lo solucionamos editando:

• /usr/lib/inithooks/everyboot.d/88snortstart
• /etc/snort/barnyard2.conf

y sustituimos lo por eth0.

Pues bien, con OpenFPC tendremos que hacer lo mismo. Para ello editaremos el archivo openfpc-default.conf este archivo de encuentra en:

• /etc/openfpc/openfpc-default.conf

y lo dejaremos de esta forma:

volvemos a iniciar OpenFPC o para quedarnos más tranquilos reiniciamos el sistema y:

Al abrir con Wireshark:

Ahora si funciona correctamente.

Podemos probar que el servivio de está listo poniendo en el navegador, en mi caso:

• http://192.168.1.109:4242/

Saldrá un mensaje que dice:

OFPC READY

. 

Algunos enlaces relacionados en Seguridad y Redes:

• Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

• Oinkmaster. Actualizando las reglas Snort.

• IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.

• IDS Policy Manager. Configuración sensores snort remotos.

• Snort. Formato, tipos e interpretación de las alertas. Actualización.

• PostgreSQL 8.4. Creando base de datos para Snort. Volcando alertas a través de ODBC.

• Snort. Enviado log a base datos mysql.

• Snortalog. Analizando los logs de Snort.

• Snort Logging mode. Modos de alerta.

• Enviando alertas a un syslog remoto con snort.

=========================================

Hasta aquí por hoy. Hasta la próxima.