comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Smooth-Sec. Sistema IDS/IPS con motor Suricata e interface Snorby

  • 0 Respuestas
  • 2003 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« en: Julio 16, 2013, 04:30:32 am »
Smooth-Sec es un sistema de detección de intrusiones IDS / IPS cuyo motor está basado en Suricata y con una interface web Snorby.


Está montado sobre Linux UBUNTU 10.04 LTS. Se trada de un sistema completamente configurado y listo para usarse.  Creado por Phillip Bailey.

los dos principales componentes de Smooth-Sec:  Suricata y Snorby.

Suricata:

Se trata de motor IDS/IPS de The Open Information Security Foundation. Es Open Source y tiene unas características especiales que hacen de Suricata un motor muy interesante. Además es totalmente compatible con las reglas Snort y Emerging Threads.

Destacamos entre las características de Suricata:

Multi-Threaded Processing. Una de la  características más importantes de Suricata que permite la ejecución de varios procesos / subprocesos de forma simultánea. Podemos entonces asignar el número de subprocesos por CPU / Cores y qué subprocesos. De esta forma es capaz, entre otras cosas, de porcesar una gran cantidad de paquetes de forma simultánea aumentando así el rendimiento.


Automatic Protocol Detection. A parte de los protocolos IP, TCP, UDP e ICMP, Suricata tiene palabras claves para otros protocolos como FTP, HTTP, TLS, SMB.  De esa forma podemos escribir reglas independientemente del puerto que un protocolo use, ya sea por defecto o no ya que éste es automáticamente detectado.

Performance Statistics. Estadísticas y análisis de rendimiento. Estas estádísticas se vuelcan el en archivo /var/log/suricata/stat.log.

HTTP Log Module. Suricata, independientemente de las alertas, vuelca todas las peticiones HTTP (tanto desde HOME_NET > EXTERNAl_NET como en el sentido ciontrario) en un archivo /var/log/http.log. El registro de estas peticiones se almacenan en formato de Log Apache.

Descompresión Gzip por parte del analizador HTTP.

Soporta, al igual que Snort, Unified2 Output.

Soporta IPv6.

Snorby:

Snorby es un front-end web, para la gestión de alertas IDS/IPS basado en sensores. En el caso de Smooth-Sec basado en motor Suricata. Su interface gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de las alertas.

En resúmen, con Snorby podemos tener una visión rápida de las alertas generadas por los distintos sensores suricata mediante una interfaz intuitiva y atractiva.

La versión que usa Smooth-Sec de Snorby es 2.2.5

Instalación de Smooth-Sec.
Descargamos la .iso desde aquí: No tienes permisos para ver links. Registrate o Entra con tu cuenta

Instalamos un una máquina física o mediante VMWare.

Una vez que arrancamos con la .iso:

- usamos la opción de install to hard disk.
- la instalacion es muy sencilla e incluye las operaciones normales de una instalación Debian / Ubuntu, tales como configuración de particiones, guiadas o no,  GRUB , etc.
- una vez realizada la instalación reiniciamos.
- indicamos password para la cuenta root.
- seguimos las indiocacio nes de la instalación.
- configuramos la interface de red.
- reinciamos.
- una pantalla nos indica, en base a la IP configurada, la fora de acceder a la interface web Snorby mediante https (02).


En esta misma pantalla: Advanced Menu > Quit, podemos acceder a línea de comandos para la configuración avanzada de Smooth-Sec.
accedemos mediante No tienes permisos para ver links. Registrate o Entra con tu cuenta y se nos pide usuario y contraseña que serán : snorby@snorby.org / snorby.

Smooth-Sec funcionando.
Desde el Dashboard o pantalla principal de Snorby > Administración (arriba derecha en rojo) > Administrator menu > Worker & JoB Queue, vemos que todo está correcto y funcionando:


Vemos que también se están generando los archivos de alerta en /var/log/suricata así como el formato unified2 para Snorby:


fuente: dadoweb.com

Un poco de configuracion de snort aqui : No tienes permisos para ver links. Registrate o Entra con tu cuenta

Suricata : No tienes permisos para ver links. Registrate o Entra con tu cuenta

Saludos !

 

¿Te gustó el post? COMPARTILO!