En esta serie dedicada a Prelude IDS / IPS, hemos visto en la primera parte, como instalar y configurar todo el sistema, en la segunda parte instalamos un sensor snort remoto y en la tercera como confirgurar el gestor de alertas y sensores Prewikka con Apache2. En esta ocasión vamos a instalar un sensor Suricata IDS / IPS con soporte prelude, lo registraremos en el server Prelude y lo pondremos en marcha.
Aunque ya lo hemos visto aquí, vamos instalar y configurar Suricata pero, esta vez con soporte prelude. Lo haremos en el local, en el server prelude.
Sobre Suricata, hemos visto:
- IDS / IPS Suricata. Instalación, configuración y puesta en marcha.
- IDS / IPS Suricata. Entendiendo y configurando Suricata. Parte I
También en Daboweb.com:
Instalando el sensor Suricata.
Instalando los prerequisitos.
Es posible que ya tengamos algunos paquetes instalados, de cualquier forma:
sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 zlib1g libcap-ng-dev libcap-ng0 libyaml-dev
Instalando suricata.
wget http://www.openinfosecfoundation.org/download/suricata-current.tar.gz
tar -xvzf suricata-current.tar.gz
cd suricata-1.0.2 o la versión que sea.
./configure –prefix=/usr –enable-shared –enable-prelude
veremos que:
Suricata Configuration:
NFQueue support: no
IPFW support: no
PF_RING support: no
Prelude support: yes
Unit tests enabled: no
Debug output enabled: no
Debug validation enabled: no
CUDA enabled: no
DAG enabled: no
Profiling enabled: no
GCC Protect enabled: no
GCC march native enabled: yes
GCC Profile enabled: no
Unified native time: no
Non-bundled htp: no
Seguimos:
mkdir /var/log/suricata/
make
make install
mkdir /etc/suricata
cp suricata.yaml /etc/suricata
cp classification.config /etc/suricata
cd /etc/suricata
Vamos a descargar las rules o reglas Emerging-Threats:
wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz
tar xzvf emerging.rules.tar.gz
Modificamos /etc/suricata/suricata.yaml para activar prelude y dejamos la sessión correspondiente de esta manera:
# alert output to prelude (http://www.prelude-technologies.com/) only
# available if Suricata has been compiled with –enable-prelude
– alert-prelude:
enabled: yes
profile: suricata
Ejecutamos Suricata para comprobar que todo está bien:
sudo suricata -c /etc/suricata/suricata.yaml -i eth0
Con engine started vemos que esta funcionando.
Registrando suricata en prelude manager.
Registramos suricata con profile: suricata. Que además lo tenemos en el mismo host que el prelude server, así que:
Terminal 1:
prelude-admin register suricata «idmef:w» 192.168.1.96 –uid 0 –gid 0
esperamos a que el proceso nos indique que podemos iniciar el segunto paso y:
Terminal 2:
sudo prelude-admin registration-server prelude-manager
Los pasos a seguir con el registro son los mismos que para el sensor Snort que vimos aquí: Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2
Una vez registrado el sensor suricata, lo ejecutamos:
sudo suricata -c /etc/suricata/suricata.yaml -i eth0
en algún momento veremos:
07 Apr 10:07:53 (process:1642) INFO: Connecting to 192.168.1.96:4690 prelude Manager server.
07 Apr 10:07:53 (process:1642) INFO: TLS authentication succeed with Prelude Manager.
Vamos a comprobar que está registrado y que podemos ver las alertas en Prewikka.
Podemos hacer, para ver los sensores registrados en local:
sudo prelude-admin list -l
En Prewikka:
Vemos ya hay alertas suricata registradas:
Si pinchamos en una de las alertas, cuadro rojo de la izquierda, podemos ver algunos detalles más:
==========================
Y hasta aquí por hoy. Hasta la próxima:
Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes