Hola a todo el mundo, hace ya una buena temporada que no escribía nada en el blog debido a mi dedicación al proyecto final de carrera, en fin ya lo publicaré cuando esté listo.El tema de hoy es como lograr configurar Snort con el visor de logs Snortalog y actualizar las firmas de Snort.
Lo primero que debemos de hacer es instalar Snort y algunas cosillas que harán falta:
apt-get install iproute snort perl-tk libgd-graph-perl
Cuando nos pida el rango de ips a monitorizar le indicaremos la propia con la máscar/32 ya que sólo queremos que Snort vigile nuestro equipo, quedaría del siguiente modo: "ip"/32.
Ya tenemos Snort funcionando, ahora nos bajamos el visor de logs:
wget http://jeremy.chartier.free.fr/snortalog/downloads/snortalog/snortalog_v2.4.0.tgz
tar xvzf snortalog_v2.4.0.tgz
Para que sea más cómodo ver los logs podemos hacer un script como este:
#!/bin/bash
while [ true ];do
echo SCRIPT MONITORIZACION SNORT
cd "ruta"/snortalog/
cat /var/log/snort/alert |./snortalog.pl -src_dst_attack|tail -11
sleep 30
clear
done
Cada 30 segundos actualiza la salida de los logs, yo personalmente lo tengo configurado para cuando entro en Gnome me arranque tilda en el inicio de sesión y tilda está configurado para que ejecute el script en el arranque.
Nos quedan las actualizaciones de las reglas de Snort, para ello seguimos el siguiente procedimiento:
wget http://ovh.dl.sourceforge.net/sourceforge/oinkmaster/oinkmaster-2.0.tar.gz
tar xvzf oinkmaster-2.0.tar.gz
cd oinkmaster-2.0
cp oinkmaster.pl /usr/bin
cd /contrib
cp makesidex.pl /usr/bin
cp oinkmaster.conf /etc
Con la siguiente instrucción averiguaremos que versión del Snort tenemos instalada:
snort -V
Debemos de conseguir un código oinkmaster para poder hacer uso de este, esto se consigue registrándose en la página de Snort.
Editamos el fichero de configuración:
vi /etc/oinkmaster.conf
url=http://www.snort.org/pub-bin/oinkmaster.cgi/"Código"/snortrules-snapshot-"versión".tar.gz
En el fichero ya existen ejemplos de diferentes versiones de Snort, es tan sencillo como adaptar una de estas a nuestras necesidades.
cd /etc
makesidex.pl /etc/snort/rules >autodisable.conf -->esta instruccion cada vez que se habiliten o deshabiliten reglas de Snort
oinkmaster.pl -C /etc/oinkmaster.conf -C /etc/autodisable.conf -o /etc/snort/rules --> Instrucción que realmente descarga las reglas y las instala.
Esta última instrucción podría ser añadida en el Cron para que se descarguen las reglas a una cierta hora cada día, semana, año........
En fin creo que es un tema interesante y curioso, ahora puedo ver la cantidad de ataques que llegan a mi equipo y que de otro modo me sería imposible percatarme.
AVISO:Por propia experiencia puedo decir que Snort es un devora recursos, el equipo llegaba hasta a colgarse en ocasiones, no se si por culpa de mi script de comprobación o por el Snort, todas las pruebas se deberían de realizar en equipos de prueba antes de hacerlo en máquinas productivas.
Entradas
4 comentarios:
Hola!
He visto que dominas con el OinkMaster. Sabes que funcion, que comando utiliza para añadir las reglas en tiempo real??
Saludos
Hola Joan, para bajar las reglas actualizadas de oinkmaster tan sólo hay qur ejecutar:
oinkmaster.pl -C /etc/oinkmaster.conf -C /etc/autodisable.conf -o /etc/snort/rules
Para instalarlas:
cd /etc
makesidex.pl /etc/snort/rules >autodisable.conf
No se seguro si es esto lo que estabas preguntando, si tienes alguna otra dudad intentaré responderte.
Cuando se descargan las nuevas reglas, estas tambien son puestas en funcionamiento con el Snort mientras este está corriendo? es decir, actualiza el arbol de reglas?
Saludos!
Así es Joan, así es una vez reiniciado el snort con las reglas nuevas colocadas en su sitio las carga y empieza a hacer uso de ellas.
Publicar un comentario