Skip to main content

Snort "for dummies": Insta-Snort


Hoy voy a hablar de Snorby, no me centraré en los sistemas de detección de intrusos (IDS), ni en Snort porque hay muchísima documentación al respecto. Snorby es un "fronted" para el IDS Snort, sus creadores tienen el objetivo de conseguir una herramienta altamente competitiva para la monitorización de redes tanto en entornos privados como empresariales.

Llevaba tiempo siguiendo el proyecto desde las versiones iniciales buscando algo similar al IDS Policy manager (sistemas Windows) para entornos Linux. Con la llegada de la versión 2.0 parece, bajo mi punto de vista, que comienza a estar preparado para su uso en entornos de producción. Aunque de momento no dispone de muchas de las funcionalidades del IDS Policy Manager, nos ofrece otras ventajas y es mucho más bonito :). Podemos probar una demo en la siguiente dirección: http://demo.snorby.org/users/login

NOTA: demo@snorby.org/snorby






De las opciones que tenemos para la instalación prefiero Insta-Snort, ya que es una distribución basada enTurnKey Linux muy sencilla de instalar y que provee de todo lo necesario para que podamos disponer un sistema Snort+Barnyard2 funcionando con una interfaz gráfica muy usable y para. De esta forma podemos estudiar la información que proporcionan los sensores de una forma cómoda y ordenada.

La instalación no supone ninguna complicación, comentar simplemente que es recomendable obtener un código Oink para actualizar las reglas de Snort (registro). De forma opcional, podemos utilizar la nueva funcionalidad que permite analizar capturas de paquetes con formato .pcap, para ello debemos registrarnos en el proyecto OpenFPC. Si necesitamos que snort escuche por otra interfaz que no sea eth0 debemos seguir este manual.

Para acceder a la interfaz gráfica nos conectamos al servidor web de la máquina y utilizamos los datos del usuario administrador por defecto, es más que aconsejable crear otro administrador y eliminar éste una vez logueados.

NOTA: snorby@snorby.org/snorby


Listo, en pocos pasos ya podemos disfrutar de nuestro IDS, en la imagen se ven varias alertas porque fue tomada unos días después de realizar la instalación, para comprobar su funcionamiento vamos a realizar un escaneo de puertos con el nmap a ver si lo detecta. En esta ocasión voy a ponérselo fácil, en otras realizaré pruebas mas complejas a ver como responde.

nmap -F 192.168.0.X

:)




Jesús Pérez
Labels:

Popular posts from this blog

ISO 27001: Inventario de los activos de información

Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI . En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro: "Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que
Read more

SIP INVITE attack with Metasploit

Some days ago my friend  @pepeluxx  wrote  another post  about INVITE attacks. He spoke about a  @sinologic   project  which allows to everybody passing some security tests to SIP servers. Furthermore he also published a perl script to do the same task. So I implemented it on Metasploit because I think It could be really useful during a pentesting. It’s interesting because these attacks are really dangerous, normally, attackers try to call to expensive locations. This target numbers often have special charges and they make money with this. Here there are two well known examples: http://blog.sipvicious.org/2010/12/11-million-euro-loss-in-voip-fraud-and.html http://snapvoip.blogspot.com.es/2009/02/calls-to-cuba-and-voip-attacks.html I’m not going to deep in this vector because of being a well known (and old!!) one. Basically the attacker tries to make a call using a misconfigured PBX. This is allowed because  SIP RFC  says that an extension has not to be registered to be abl
Read more

Flooding Asterisk, Freeswitch and Kamailio with Metasploit

Hi, it has been a long time since my last post because of my new job and my final year project ("VoIP denegation of service attacks" for curious) but there is something I found during my tests with  Freeswitch ,  Kamailio  and  Asterisk  that I want to share. NOTE: Really, guys of  Security By Default  blog published us (my good friend Roi Mallo and me) two articles about how to develop modules for Metasploit framework, another two are coming.  ;) During my project, among others, I developed a Metasploit module which can flood SIP protocol with common frames (INVITE, OPTIONS, REGISTER, BYE), I wrote it at Quobis (nice job ;) in order to use it for some private tests because actual software didn´t fit our needs, so we are going to probe how is the behavior of different GPL VoIP servers against this kind of attacks: - Asterisk: I think it needs no introduction, the famous softswitch/PBX software. - Freeswitch: It´s a newer softswitch that seems to be Asterisk replacement
Read more