Seguimos estudiando soluciones integradas para NIDS / NIDS cuyo motor principal se basa en Snort. Hasta ahora hemos visto Snorby y EadyIDS. También otras soluciones como:
- IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.
- Honeynet Security Console. Analizando logs y eventos de Snort ( I Parte ).
En esca ocasión vamos a ver una solución Live DVD basada en Xubuntu, con una actualización frecuente que nos permite tener nuestras aplicaciones muy actualizadas.
Se trata de Scurity Onion. Aunque su motor es Snort, ahora se ha integrado Suricata, con lo que podemos elegir entre uno u otro. También incluye Xplico, con todas las ventajas que esta herramienta nos proporciona.
Ya tenéis la Parte II de este artículo y como instalar Suricata: Snort. Security Onion Live. SGUIL, Squert y Suricata. Analizando una alerta. Un caso real. Parte II
IDS / IPS Suricata. Instalación, configuración y puesta en marcha.
Bien vamos a instalar Security Onion y trabajar con el….
Introducción a Security Onion.
Se trata de un DVD Live basado en Xubuntu. El gestor de Alertas se basa en SGUIL 0.7.0, aunque podemos elegir también Squert y como motores / sensores IDS de monitorización podemos elegir entre Suricata y Snort 2.9.0.3.
Instalación y Configuración.
En este caso realizaremos la instalación en un portátil. Usaremos Snort y SGUIL. En otro artículo usaremos Suricata y Squert.
Comenzamos.
Bajamos la ISO desde aquí: http://sourceforge.net/projects/security-onion/files/
Que correspondem en este momento a: security-onion-live-20110116.iso
Comenzamos el proceso de instalación desde el DVD y lo nos preguntará sobere idioma, ubicación geográfica / zona horaria, distribución de lteclado. A continuación el espacio de disco, particiones, etc.
Introducimos usuario y contraseña y se procede a la instalación própiamente dicha.
Reiniciamos…
Configuración de Red.
Al tratarse de Xubuntu, el proceso de configuración de la inteface de red es muy sencillla. solo tenemos que ir al icono, que para tal efecto, tenemos en el panel superior, a la derecha en el escritorio.
Configuración del sistema IDS.
En el escritorio tenemos un icono Setup. Pulsamos sobre el para iniciar la configuración. Lo hacemos desde el método avanzado.
Solo tenemos que seguir los sencillos pasos para una correcta configuración como es el usuario y password para SGUIL, etc. A continuación se nos informa que por defecto se usará Snort, pero podemos elegir Suricata. De momento elegimos Snort, opción de la derecha:
- indicamos la interface a monitorizar, en mi caso eth0.
- elegimos el método para actualizar las reglas, en mi caso la tercera opción.
- una ventana resumen nos informa de las opciones elegidas y procedemos a la instalación….
después de esto, se instala y configura Seguil server, PulledPork (para actualización de reglas), se inician los servicios necesarios, etc.
Sguil. Breve reseña de uso.
Se trata de la interface gráfica con la que podremos gestionar las alertas. Para ello tenemos en el escritorio un icono para Sguil… nos pedirá los datos de usuario y contraseña:
A continuación indicamos la interface que queremos monitorizar y Start SGUIL.
Se abre una ventana con la inteface Sguil:
Observad que tengo marcadas las opciones:
- Show Packet Data para ver los datos más importantes de las cabeceras
- Show Rule la regla correspondiente a la alerta.
Estadísticas Snort.
En el panle de la izquierda, tenemos unas serie de pestañas. Una de ellas es Snort Statistics que ns informa de las estadísticas del sensor.
Los archivos de Sguil / security onion. Actualizar las reglas.
Comentar que cuando descargamos las reglas, estas se almacenan en:
- /etc/nsm/rules/downloaded.rules
- /etc/nsm/rules/local.rules
La configuración de PulledPork para descarga de reglas:
- /etc/pullerdpork
Para actualizar las reglas, hay que ejecutar el script.
- /usr/local/bin/pulledpork_update.sh
Snort.conf:
- /etc/nsm/NOMBREDELSENSOR/snort.conf (por ejemplo /etc/nsm/eth0/snort.conf )
Sguil Transcript.
Con esta opción podemos, dicho de forma sencilla, ver de forma algo más humana el contenido o conversación relativa a una determinada conexión.
Para verlo mejor, unejemplo. Tenemos la siguiente alerta. He marcado en rojo el dato de la columna Alert ID:
Con el botón derecho del ratón en Alert ID accedemos aun menú, elegimos Transcript y:
Lo he marcado en rojo. Se trata de la acción de un script HTTP de Nmap.
En el panel de Datos del paquete y regla específica tenemos también:
Los comandos nsm.
Se trata de una serie de comandos scripts para la administración, gestión y chequeo del sistema IDS. De esta foram podemos, por ejemplo, parar / inciar / reiniciar el servivio SGUIL, ver su estado, gestionar los sensores, ver el estado de los sensores y otros servicios, etc. Vemos los más importantes:
- nsm_server_ps-status para ver el estado del servidor sguil
- nsm_server_ps-start / stop / restart iniciar/parar/reiniciar sguil server
- nsm_sensor_ps-start / stop / restart iniciar/parar/reiniciarel sensor y sus componetes (necesario cuando cambiamos alguna configuración )
- nsm_sensor_ps-status estado de los servicios / agentes que corresponden al sistema IDS.
Por ejemplo, si detectamos algun problema en las capturas, en Sguil, etc:
- nsm_sensor_edit editar la configuración de un sensor (eth0 por ejemplo)
- etc,
Relacionado:
IDS / IPS Suricata. Instalación, configuración y puesta en marcha.
Ya tenéis la Parte II de este artículo: Snort. Security Onion Live. SGUIL, Squert y Suricata. Analizando una alerta. Un caso real. Parte II
=====
Y hasta aquí por hoy. En el siguiente capítulo más. Hasta la próxima.
Seguridad y Redes 
Increible, no he encontrado entrada de la distro «Security Onion» en la wikipedia.
Pero por tu post tiene una pinta muuuuuy bueeeeenaaaa.
Salu2
Gracias Javi.