Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Instalación y activación de OpenFPC

Ya hemos visto como instalar y usar Snorby 2.2.1 aquí: Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6

OpenFPC y Snorby.

Sin embargo, no llegamos a activar una de las funcionalidades de Snorby que es OpenFPC.  ¿ Pero qué es OpenFPC ?. Se trata de una serie de herramientas para gestión, entre otros, de archivos de captura en formato .pcap además de otras funcionalidades. Aquí lo usaremos para exportar los eventos de las alertas en formato .pcap y de esta menera, por ejemplo, abrir con Wireshark eventos, conjuntos de eventos personalizados, etc.

Instalando OpenFPC.

Aunque durante la instalación no lo hayamos activado, el .tgz lo tenemos descargado y descomprimido. Si hacemos un ls veremos que aparece un archivo:

  • openfpc-0.4-267

Así que:

  • cd openfpc-0.4-267
  • ./openfpc-install.sh install

Durante el install se nos pedirá un usuario y password para OpenFPC, en mi caso usé openfpc / openfpc.

Una vez hecho esto iniciamos OpenFPC:

  • openfpc –action start

Snorby y OpenFPC. Instalacion y activación

A continuación iniciamos openfpc-client para verificar las comunicaciones, además de usuario y contraseña de la forma:

  • openfpc-client -a status

Snorby y OpenFPC. Instalacion y activación

OK. Todo correcto.

Ahora tenemos que activar OpenFPC en la interface gráfica de Snorby, asíu que una vez en el Dashboard, tenemos que ir hasta aquí: Administración:

Snorby y OpenFPC. Instalacion y activación en Dashboard

Lo dejamos como en la captura de pantalla. Activamos OpenFPC, Packet Capture Auto-authenticate y añadimos la URL:

Donde xxx.xxx.xxx.xxx es la IP donde tenemos ubicado nuestro Snorby.

Ya solo nos queda introducir el usuario y contraseñay Save setting.
Si navegamos porla interface hasta uno de los eventos y pulsamos sobre el, veremos que tenemos un nuevo botón: Packet Capture Options.

Snorby y OpenFPC. Instalacion y activación dashboard eventos

Pulsando sobre una de las opciones (recuadro rojo), por ejemplo Source (1 Hour):

Snorby y OpenFPC. Instalacion y activación dashboard pcap

¿ Todo correcto ?. Puede ser que no. Lo vemos…

Resolución de errores.

Vaya….. al parecer Wireshark abre el archivo .pcap pero no sale nada. ¿ Como puede ser esto ?. ¿ Dónde está el problema ?.

Os recuerdo que, en el anterior artículo (Snort. Snorby 2.2.1 un front-end para análisis y gestión de alertas para Snort. Insta-Snorby 0.6), cuando instalamos Snorby 2.2.1 con Insta-Snorby 0.6, este solo reconocia la interface lo. Lo solucionamos editando:

  • /usr/lib/inithooks/everyboot.d/88snortstart
  • /etc/snort/barnyard2.conf

y sustituimos lo por eth0.

Pues bien, con OpenFPC tendremos que hacer lo mismo. Para ello editaremos el archivo openfpc-default.conf este archivo de encuentra en:

  • /etc/openfpc/openfpc-default.conf

y lo dejaremos de esta forma:

snorby openpfc-default.conf openfpc sustituir interface sensor

volvemos a iniciar OpenFPC o para quedarnos más tranquilos reiniciamos el sistema y:

descargando exportantdo fichero pcap snorby openfpc

Al abrir con Wireshark:

snorby openfpc sportando a wireshark

Ahora si funciona correctamente.

Podemos probar que el servivio de está listo poniendo en el navegador, en mi caso:

Saldrá un mensaje que dice:

OFPC READY
. 

Algunos enlaces relacionados en Seguridad y Redes:

=========================================

Hasta aquí por hoy. Hasta la próxima.

Esta entrada fue publicada en Seguridad y redes, Snorby, Snort. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s