Este programa de auditoría estamos comentándolo en este foro de Seguridad Online / NAUTOPIA

TALLER de Sistemas de detección de intrusiones.

SNORT

APENDICE 1

ENVIANDO ALERTAS A UN SYSLOG REMOTO CON SNORT Y/O IDSCENTER.

En este artículo vamos a ver una funcionalidad de Snort e IDSCenter. Se trata de usar la opción de envío de alertas a un syslog remoto.

Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.

Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon, aunque puede ser otro cualquiera.

          http://www.kiwisyslog.com/products.htm#syslog

Una vez instalado el servidor syslog, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.

Configurando Kiwi Syslog Daemon

File > Properties > Imputs > UDP

Marcamos "Listen for UDP Syslog messages"

UDP Port (1-65535): 514 (en este caso 514, aunque puede ser cualquiera)

Configurando IDSCenter

Vamos a icono de IDSCenter pulsamos con el ratón en "Setting", para cargar el GUI de configuración de Snort. Pulsamos en "Stop Snort" para realizar los siguientes cambios:

Pulsamos "Add" para añadir el plugin configurado.

Para terminar pulsamos arriba del panel "Apply" para cargar la configuración en el archivo snort.conf y "Start Snort" para activar Snort.

A medida que Snort genere alertas basadas en las reglas activadas, las irá enviando al syslog remoto a través del puerto UDP que hayamos designado y veremos las alertas en la consola del syslog y serán grabadas en el directorio /log del servidor.

Configuración de syslog sin IDSCenter

Si tenemos Snort corriendo sin el GUI IDSCenter podemos también realizar esta operación añadiendo (-s) a nuestra línea de comandos Snort y modificando el archivo de configuración de Snort (snort.conf).

En Snort, tan sólo tendremos que añadir como hemos apuntado, la opción (-s). Ejemplo:

snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s 192.168.4.3:514

-s activa envio a syslog

192.168.4.9: la IP de la máquina donde correo el servicio syslog

514: puerto UDP por donde escucha el servicio.

Ahora vamos al fichero de configuración de snort (snort.conf). Nos posicionamos en la sección de configuración de plugins de salida:

################################################################

# Step #3: Configure output plugins

# General configuration for output plugins is of the form:

# output <name_of_plugin>: <configuration_options>

################################################################

Añadimos una línea de tal forma que nos quede de esta manera:

################################################################

# Step #3: Configure output plugins

# General configuration for output plugins is of the form:

# output <name_of_plugin>: <configuration_options>

output alert_syslog: LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID

################################################################

También podemos hacer lo siguiente:

################################################################

# Step #3: Configure output plugins

# General configuration for output plugins is of the form:

# output <name_of_plugin>: <configuration_options>

output alert_syslog: host:192.168.4.3:514, LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID

################################################################

Es decir, que en snort.conf indicamos también el host y puerto del syslog remoto. De esta manera podemos prescindir del añadido -s 192.168.4.3:514 en la línea de comandos de Snort.

Testeando la configuración y envío al syslog

Mediante Windump o TCPDump verificamos que Snort está enviando las alertas al syslog:

Snort está enviando correctamente al syslog que corre en el host 192.168.4.3 las alertas al puerto UDP 514.

Vemos en la consola del syslog remoto que efectivamente las alertas aparecen correctamente.

-Taller IDS-