Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata.

En esta serie dedicada a Prelude IDS / IPS, hemos visto en la primera parte, como instalar y configurar todo el sistema, en la segunda parte instalamos un sensor snort remoto y en la tercera como confirgurar el gestor de alertas y sensores Prewikka con Apache2. En esta ocasión vamos a instalar un sensor Suricata IDS / IPS con soporte prelude, lo registraremos en el server Prelude y lo pondremos en marcha.

Prewikka sensores y nodos registrados suricata

Aunque ya lo hemos visto aquí, vamos instalar y configurar Suricata pero, esta vez con soporte prelude. Lo haremos en el local, en el server prelude.

Sobre Suricata, hemos visto:

También en Daboweb.com:

Instalando el sensor Suricata.

Instalando los prerequisitos.

Es posible que ya tengamos algunos paquetes instalados, de cualquier forma:

sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 zlib1g libcap-ng-dev libcap-ng0 libyaml-dev

Instalando suricata.

wget http://www.openinfosecfoundation.org/download/suricata-current.tar.gz
tar -xvzf suricata-current.tar.gz
cd suricata-1.0.2 o la versión que sea.

./configure –prefix=/usr –enable-shared –enable-prelude

veremos que:

Suricata Configuration:
NFQueue support:          no
IPFW support:             no
PF_RING support:          no
Prelude support:          yes
Unit tests enabled:       no
Debug output enabled:     no
Debug validation enabled: no
CUDA enabled:             no
DAG enabled:              no
Profiling enabled:        no
GCC Protect enabled:      no
GCC march native enabled: yes
GCC Profile enabled:      no
Unified native time:      no
Non-bundled htp:          no

Seguimos:

mkdir /var/log/suricata/
make
make install

mkdir /etc/suricata

cp suricata.yaml /etc/suricata
cp classification.config /etc/suricata

cd /etc/suricata

Vamos a descargar las rules o reglas Emerging-Threats:

wget http://www.emergingthreats.net/rules/emerging.rules.tar.gz
tar xzvf emerging.rules.tar.gz

Modificamos /etc/suricata/suricata.yaml para activar prelude y dejamos la sessión correspondiente de esta manera:

# alert output to prelude (http://www.prelude-technologies.com/) only
# available if Suricata has been compiled with –enable-prelude
– alert-prelude:
enabled: yes
profile: suricata

Ejecutamos Suricata para comprobar que todo está bien:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

Con engine started vemos que esta funcionando.

Registrando suricata en prelude manager.

Registramos suricata con profile: suricata. Que además lo tenemos en el mismo host que el prelude server, así que:

Terminal 1:

prelude-admin register suricata «idmef:w» 192.168.1.96 –uid 0 –gid 0

esperamos a que el proceso nos indique que podemos iniciar el segunto paso y:

Terminal 2:

sudo prelude-admin registration-server prelude-manager

Los pasos a seguir con el registro son los mismos que para el sensor Snort que vimos aquí: Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2

Una vez registrado el sensor suricata, lo ejecutamos:

sudo suricata -c /etc/suricata/suricata.yaml -i eth0

en algún momento veremos:

07 Apr 10:07:53 (process:1642) INFO: Connecting to 192.168.1.96:4690 prelude Manager server.
07 Apr 10:07:53 (process:1642) INFO: TLS authentication succeed with Prelude Manager.

Vamos a comprobar que está registrado y que podemos ver las alertas en Prewikka.

Podemos hacer, para ver los sensores registrados en local:

sudo prelude-admin list -l

prelude-admin list -l para ver sensores registrados

En Prewikka:

Prewikka sensores y nodos registrados suricata

Vemos ya hay alertas suricata registradas:

Registro de alertas suricata en Prewikka

Si pinchamos en una de las alertas, cuadro rojo de la izquierda, podemos ver algunos detalles más:

Prewikka detalle de una alerta suricata

==========================

Y hasta aquí por hoy. Hasta la próxima:

Esta entrada fue publicada en OSSEC HIDS, Prelude IDS - IPS, Seguridad y redes, Snort, Suricata. Guarda el enlace permanente.

Una respuesta a Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata.

  1. Pingback: Suricata IDS/IPS 1.2.1 Extracción de ficheros de sesiones HTTP tráfico de red. | Seguridad y Redes

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s