La arquitectura de Prelude para prelude-correlator, permite la creación de plugins y/o reglas de correlación, ya os lo comenté en Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator.
En esta ocasión vamos a instalar y ver como funciona el plugin PortscanGeoinfo. Este plugin desarrollado por David Rupprechter de http://www.dotlike.net, lo que hace es añadir información geográfica para eventos de scan de puertos (EventScan) en prelude-correlator.
Instalación y requisitos previos para PortscanGeoinfo.
Antes que nada necesitamos instalar:
- python-geoip
- libgeoip1
- python-setuptools
- base de datos GeoLiteCity
Vamos a ello.
Descargamos PortscanGeoinfo desde http://www.dotlike.net/ddl//prj_count.php?d=2
Descomprimimos y una vez en la carpeta portscangeoinfo, hacemos lo siguiente:
python setup.py build
python setup.py install
Ahora vamos a /etc/prelude-correlator/prelude-correlator.conf y añadimos lo enmarcado en rojo:
Salvamos el archivo.
Descarga e instalación base datos GeoLiteCity.
Ahora vamos a descargar labase de datos GeoLiteCity desde:
http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
y descomprimimos con gzip -d en /usr/share/GeoIP.
Puesta en marcha y pruebas.
Paramos ahora prelude-correlator y lo volvemos a poner en marcha para que tome la nueva configuración. Una vez que se valide en prelude-manager estará listo. Veremos que en la lista de plugins cargados tendremos uno más.
Ahora realizamos un portscan. Yo he usado la siguiente línea para nmap:
>nmap -sV -O -vv 192.168.1.106 -T3 -eeth0 -p1-12000 -S 213.xx.xx.xx
El resultado es el siguiente en Prewikka > Alertas:
Ahora nos vamos a la pestaña Alertas de correlación y:
Si pulsamos con el ratón en Geographical Information for portscan….y Alert Detail:
Relacionado con Prelude IDS / IPS:
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte I
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 2
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 3
- Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte 4. Sensor Suricata.
- Centro IDS / IPS con Prelude SIEM…. Parte 5. Instalando y configurando OSSEC soporte con prelude. Añadiendo sensor.
- Centro IDS / IPS con Prelude SIEM. Parte 6. Instalando y configurando sensores OSSEC Windows.
- Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator.Centro IDS / IPS con Prelude SIEM. Parte 7. Instalación y puesta en marcha de prelude-correlator.
==============
Y hasta aquí por hoy. Hasta la próxima.
Seguridad y Redes 
Pingback: Visualización interactiva de tráfico de red con INAV. | Seguridad y Redes
Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes