Snort. Security Onion Live. SGUIL, Squert y Suricata. Todo en uno. Parte I

Seguimos estudiando soluciones integradas para NIDS / NIDS cuyo motor principal se basa en Snort. Hasta ahora hemos visto Snorby y EadyIDS. También otras soluciones como:

security onion sguil

En esca ocasión vamos a ver una solución Live DVD basada en Xubuntu, con una actualización frecuente que nos permite tener nuestras aplicaciones muy actualizadas.

security onion

Se trata de Scurity Onion. Aunque su motor es Snort, ahora se ha integrado Suricata, con lo que podemos elegir entre uno u otro. También incluye Xplico, con todas las ventajas que esta herramienta nos proporciona.

Ya tenéis la Parte II de este artículo y como instalar Suricata: Snort. Security Onion Live. SGUIL, Squert y Suricata. Analizando una alerta. Un caso real. Parte II

IDS / IPS Suricata. Instalación, configuración y puesta en marcha. 

Bien vamos a instalar Security Onion y trabajar con el….

Introducción a Security Onion.

Se trata de un DVD Live basado en Xubuntu. El gestor de Alertas se basa en SGUIL 0.7.0, aunque podemos elegir también Squert y como motores / sensores IDS de monitorización podemos elegir entre SuricataSnort 2.9.0.3.

Instalación y Configuración.

En este caso realizaremos la instalación en un portátil. Usaremos Snort y SGUIL. En otro artículo usaremos Suricata y Squert.

Comenzamos.

Bajamos la ISO desde aquí: http://sourceforge.net/projects/security-onion/files/

Que correspondem en este momento a:  security-onion-live-20110116.iso

security onion pantalla de instalacion

Comenzamos el proceso de instalación desde el DVD y lo nos preguntará sobere  idioma, ubicación geográfica / zona horaria, distribución de lteclado. A continuación el espacio de disco, particiones, etc.

Introducimos usuario y contraseña y se procede a la instalación própiamente dicha.

Reiniciamos…

Configuración de Red.

Al tratarse de Xubuntu, el proceso de configuración de la inteface de red es muy sencillla. solo tenemos que ir al icono, que para tal efecto, tenemos en el panel superior, a la derecha en el escritorio.

Configuración del sistema IDS.

En el escritorio tenemos un icono Setup. Pulsamos sobre el para  iniciar la configuración. Lo hacemos desde el método avanzado.

security onion setup. configuracion avanzada

Solo tenemos que seguir los sencillos pasos para una correcta configuración como es el usuario y password para SGUIL, etc. A continuación se nos informa que por defecto se usará Snort, pero podemos elegir Suricata. De momento elegimos Snort, opción de la derecha:

Security Onion snort o suricata

  • indicamos la interface a monitorizar, en mi caso eth0.
  • elegimos el método para actualizar las reglas, en mi caso la tercera opción.
  • una ventana resumen nos informa de las opciones elegidas y procedemos a la instalación….

después de esto, se instala y configura Seguil server, PulledPork (para actualización de reglas), se inician los servicios necesarios, etc.

Sguil. Breve reseña de uso.  

Se trata de la interface gráfica con la que podremos gestionar las alertas. Para ello tenemos en el escritorio un icono para Sguil… nos pedirá los datos de usuario y contraseña:

security onion login sguil

A continuación indicamos la interface que queremos monitorizar y Start SGUIL.

Se abre una ventana con la inteface Sguil:

security onion sguil

Observad que tengo marcadas las opciones:

  • Show Packet Data para ver los datos más importantes de las cabeceras
  • Show Rule la regla correspondiente a la alerta.

Estadísticas Snort.

En el panle de la izquierda, tenemos unas serie de pestañas. Una de ellas es  Snort Statistics que ns informa de las estadísticas del sensor.

Los archivos de Sguil / security onion. Actualizar las reglas.

Comentar que cuando descargamos las reglas, estas se almacenan en:

  • /etc/nsm/rules/downloaded.rules
  • /etc/nsm/rules/local.rules

La configuración de PulledPork para descarga de reglas:

  • /etc/pullerdpork

Para actualizar las reglas, hay que ejecutar el script.

  • /usr/local/bin/pulledpork_update.sh

security onion pulledpork actualizando las reglas snort

Snort.conf:

  • /etc/nsm/NOMBREDELSENSOR/snort.conf   (por ejemplo /etc/nsm/eth0/snort.conf )

Sguil Transcript.

Con esta opción podemos, dicho de forma sencilla, ver de forma algo más humana el contenido o conversación relativa a una determinada conexión.

Para verlo mejor, unejemplo. Tenemos la siguiente alerta. He marcado en rojo el dato de la columna Alert ID:

security onion sguil transcript

Con el botón derecho del ratón en Alert ID accedemos aun menú, elegimos Transcript y:

security onion sguil transcript ejemplo

Lo he marcado en rojo. Se trata de la acción de un script HTTP de Nmap.

En el panel de Datos del paquete y regla específica tenemos también:

security onion detalles paquete nmap nse http

Los comandos nsm.

Se trata de una serie de comandos scripts  para la administración, gestión y chequeo del sistema IDS. De esta foram podemos, por ejemplo, parar / inciar / reiniciar el servivio SGUIL, ver su estado, gestionar los sensores, ver el estado de los sensores y otros servicios, etc. Vemos los más importantes:

  • nsm_server_ps-status para ver el estado del servidor sguil
  • nsm_server_ps-start / stop / restart iniciar/parar/reiniciar sguil server
  • nsm_sensor_ps-start / stop / restart iniciar/parar/reiniciarel sensor y sus componetes (necesario cuando cambiamos alguna configuración )
  • nsm_sensor_ps-status estado de los servicios / agentes que corresponden al sistema IDS.

Por ejemplo, si detectamos algun problema en las capturas, en Sguil, etc:

security onion comandos nsm

  • nsm_sensor_edit editar la configuración de un sensor (eth0 por ejemplo)
  • etc,

Relacionado:

IDS / IPS Suricata. Instalación, configuración y puesta en marcha.

Ya tenéis la Parte II de este artículo: Snort. Security Onion Live. SGUIL, Squert y Suricata. Analizando una alerta. Un caso real. Parte II

=====

Y hasta aquí por hoy. En el siguiente capítulo más. Hasta la próxima.

Esta entrada fue publicada en Security Onion, Sguil, Snort. Guarda el enlace permanente.

2 respuestas a Snort. Security Onion Live. SGUIL, Squert y Suricata. Todo en uno. Parte I

  1. javcasta dijo:

    Increible, no he encontrado entrada de la distro «Security Onion» en la wikipedia.
    Pero por tu post tiene una pinta muuuuuy bueeeeenaaaa.
    Salu2

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s