martes, 16 de julio de 2013

Smooth-Sec. Sistema IDS/IPS con motor Suricata e interface Snorby




Smooth-Sec es un sistema de detección de intrusiones IDS / IPS cuyo motor está basado en Suricata y con una interface web Snorby.


Está montado sobre Linux UBUNTU 10.04 LTS. Se trada de un sistema completamente configurado y listo para usarse. Creado por Phillip Bailey.

los dos principales componentes de Smooth-Sec: Suricata y Snorby.

Suricata:

Se trata de motor IDS/IPS de The Open Information Security Foundation. Es Open Source y tiene unas características especiales que hacen de Suricata un motor muy interesante. Además es

totalmente compatible con las reglas Snort y Emerging Threads.

Destacamos entre las características de Suricata:

Multi-Threaded Processing. Una de la características más importantes de Suricata que permite la ejecución de varios procesos / subprocesos de forma simultánea. Podemos entonces asignar el número de subprocesos por CPU / Cores y qué subprocesos. De esta forma es capaz, entre otras cosas, de porcesar una gran cantidad de paquetes de forma simultánea aumentando así el rendimiento.


Automatic Protocol Detection. A parte de los protocolos IP, TCP, UDP e ICMP, Suricata tiene palabras claves para otros protocolos como FTP, HTTP, TLS, SMB. De esa forma podemos escribir reglas independientemente del puerto que un protocolo use, ya sea por defecto o no ya que éste es automáticamente detectado.

Performance Statistics. Estadísticas y análisis de rendimiento. Estas estádísticas se vuelcan el en archivo /var/log/suricata/stat.log.

HTTP Log Module. Suricata, independientemente de las alertas, vuelca todas las peticiones HTTP (tanto desde HOME_NET > EXTERNAl_NET como en el sentido ciontrario) en un archivo /var/log/http.log. El registro de estas peticiones se almacenan en formato de Log Apache.

Descompresión Gzip por parte del analizador HTTP.

Soporta, al igual que Snort, Unified2 Output.

Soporta IPv6.

Snorby:

Snorby es un front-end web, para la gestión de alertas IDS/IPS basado en sensores. En el caso de Smooth-Sec basado en motor Suricata. Su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas.

En resúmen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores suricata mediante una interfaz intuitiva y atractiva.

La versión que usa Smooth-Sec de Snorby es 2.2.5

Instalación de Smooth-Sec.
Descargamos la .iso desde aquí: https://sourceforge.net/projects/smoothsec/

Instalamos un una máquina física o mediante VMWare.

Una vez que arrancamos con la .iso:
- usamos la opción de install to hard disk.- la instalacion es muy sencilla e incluye las operaciones normales de una instalación Debian / Ubuntu, tales como configuración de particiones, guiadas o no, GRUB , etc.- una vez realizada la instalación reiniciamos.- indicamos password para la cuenta root.- seguimos las indiocacio nes de la instalación.- configuramos la interface de red.- reinciamos.- una pantalla nos indica, en base a la IP configurada, la fora de acceder a la interface web Snorby mediante https (02).


En esta misma pantalla: Advanced Menu > Quit, podemos acceder a línea de comandos para la configuración avanzada de Smooth-Sec.
accedemos mediante https://IP:443/ y se nos pide usuario y contraseña que serán : snorby@snorby.org / snorby.

Smooth-Sec funcionando.
Desde el Dashboard o pantalla principal de Snorby > Administración (arriba derecha en rojo) > Administrator menu > Worker & JoB Queue, vemos que todo está correcto y funcionando:


Vemos que también se están generando los archivos de alerta en /var/log/suricata así como el formato unified2 para Snorby:


fuente: dadoweb.com

Un poco de configuracion de snort aqui : http://seguridadyredes.wordpress.com/2011/01/20/snort-snorby-221-un-front-end-para-analisis-y-gestian-de-alertas-para-snort-insta-snorby-06/

Suricata : http://seguridadyredes.wordpress.com/2011/02/22/ids-ips-suricata-entendiendo-y-configurando-suricata-parte-i/

Saludos !
Share:

0 comentarios:

Publicar un comentario

FOLLOWME


Translate

Followers