En este artículo vamos a ver una funcionalidad de Snort e IDSCenter. Se trata de usar la opción de envío de alertas a un syslog remoto.
Syslog es el servicio de registro de actividad presente en la mayoría de sistemas Unix.
Para Windows disponemos de varios programas que hacen de servidor syslog. Veamos uno de ellos. Se trata de Kiwi Syslog Daemon, aunque puede ser otro cualquiera.
http://www.kiwisyslog.com/products.htm#syslog
Una vez instalado el servidor syslog, procedemos a configurarlo para que escuche por un determinado puerto y así Snort pueda de forma remota enviar los logs a través de la red.
Configurando Kiwi Syslog Daemon
File > Properties > Imputs > UDP
Marcamos "Listen for UDP Syslog messages"
UDP Port (1-65535): 514 (en este caso 514, aunque puede ser cualquiera)
Configurando IDSCenter
Vamos a icono de IDSCenter pulsamos con el ratón en "Setting", para cargar el GUI de configuración de Snort. Pulsamos en "Stop Snort" para realizar los siguientes cambios:
| Log setting > Logging parameters
marcamos "Log to remote syslog (-s)"
Server: IP del host donde esté corriendo el servidor syslog
Port: 514 o el que hayamos introducido en el servidor syslog
|
IDS Rules > Output plugins
Add > Syslog alert plugins
Facility: LOG_LOCAL7
Priority: LOG_ALERT
marcamos:
LOG_CONS
LOG_PERROR
LOG_NDELAY
LOG_PID |
Pulsamos "Add" para añadir el plugin configurado.
Para terminar pulsamos arriba del panel "Apply" para cargar la configuración en el archivo snort.conf y "Start Snort" para activar Snort.
A medida que Snort genere alertas basadas en las reglas activadas, las irá enviando al syslog remoto a través del puerto UDP que hayamos designado y veremos las alertas en la consola del syslog y serán grabadas en el directorio /log del servidor.
Configuración de syslog sin IDSCenter
Si tenemos Snort corriendo sin el GUI IDSCenter podemos también realizar esta operación añadiendo (-s) a nuestra línea de comandos Snort y modificando el archivo de configuración de Snort (snort.conf).
En Snort, tan sólo tendremos que añadir como hemos apuntado, la opción (-s). Ejemplo:
snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s 192.168.4.3:514
-s activa envio a syslog
192.168.4.9: la IP de la máquina donde correo el servicio syslog
514: puerto UDP por donde escucha el servicio.
Ahora vamos al fichero de configuración de snort (snort.conf). Nos posicionamos en la sección de configuración de plugins de salida:
################################################################
# Step #3: Configure output plugins
# General configuration for output plugins is of the form:
# output <name_of_plugin>: <configuration_options>
################################################################
Añadimos una línea de tal forma que nos quede de esta manera:
################################################################
# Step #3: Configure output plugins
# General configuration for output plugins is of the form:
# output <name_of_plugin>: <configuration_options>
output alert_syslog: LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID
################################################################
También podemos hacer lo siguiente:
################################################################
# Step #3: Configure output plugins
# General configuration for output plugins is of the form:
# output <name_of_plugin>: <configuration_options>
output alert_syslog: host:192.168.4.3:514, LOG_LOCAL7 LOG_ALERT LOG_CONS LOG_NDELAY LOG_PERROR LOG_PID
################################################################
Es decir, que en snort.conf indicamos también el host y puerto del syslog remoto. De esta manera podemos prescindir del añadido -s 192.168.4.3:514 en la línea de comandos de Snort.
Testeando la configuración y envío al syslog
Mediante Windump o TCPDump verificamos que Snort está enviando las alertas al syslog:
Snort está enviando correctamente al syslog que corre en el host 192.168.4.3 las alertas al puerto UDP 514.
Vemos en la consola del syslog remoto que efectivamente las alertas aparecen correctamente.
