HOWTO: Alto Rendimiento de IDS / IPS con SmoothSec 3.4

El siguiente Intrusión Detection System / Prevención (IDS / IPS) de configuración se utiliza AF_PACKET con SmoothSec 3.4. La siguiente configuración es para el flujo de tráfico de baja usuarios domésticos y SOHO (o se puede decir que se trata de una prueba de concepto). Si el tráfico es pesado, por favor considere usar un hardware de gama alta
(A) Hardware

IDS / IPS. –
Tarjetas Madre – Intel Desktop Board D510MO
CPU – Intel Atom D510 (doble núcleo con HT)
RAM – 4GB (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 (eth0) – A bordo Gigabit
Tarjeta de red 1 (eth1) – TP-Link TG-3269 Adaptador de red Gigabit PCI (con perfil bajo)
Tarjeta de red 2 ( eth2) – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)

* Se puede seleccionar (1) Level One Gigabit Ethernet Adapter USB USB-0401 o (2) PCI USB 3.0 LAN Gigabit Adaptador de UE-1000T-G3 para eth2. Sin embargo, es necesario compilar e instalar el controlador usted mismo

actualización :. Si está utilizando Backports último núcleo, el nivel uno USB-0401 y PCI UE-1000T-G3 son viables fuera de la caja

Router -.

Tarjetas Madre – Intel Desktop Board D510MO
CPU – Intel Atom D510 (Dual- núcleo con HT)
RAM – 4GB (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 (eth0) – A bordo Gigabit
Tarjeta de red 1 (eth1) – TP- Enlace TG-3269 Adaptador de red Gigabit PCI (con perfil bajo)

(B) Software

IDS / IPS –

Sistema operativo – Debian 7.0 (Wheezy)
IDS / IPS sistema Pre-configure – SmoothSec 3.4 (64-bit)
IDS / IPS Motor – Snort (o Suricata)
Unified2 cola – Interfaz Web Pocilga
– Snorby
Normas de Gestión – pulledpork

Router –

Operativo Sistema -. Untangle 9.4.2 (64-bit)

* Básicamente, Untangle es un Sistema de Gestión Unificada de Amenazas (UTM) del router y

(C) Hardware Configuración

Internet ---- Router ---- SmoothSec ---- Interruptor ---- Ordenadores personales

Router – eth0 conectarse a Internet; eth1 conectarse a SmoothSec

SmoothSec – conectar eth0 al router; eth1 conectarse a Switch (uplink o puerto 1); eth2 Conectar para cambiar (cualquier puerto en 2 a 4 )

* Se puede usar cualquier router para reemplazar Untangle.

(D) Instalación de SmoothSec

descargar SmoothSec . 3.4 en aquí o aquí

Asegúrese de que el cuadro de SmoothSec puede navegar por Internet, de lo contrario, la instalación sólo podrá rechazarse. O bien, puede volver a organizar los cables cuando sea necesario

actualizado :. Desde los guiones de 3.4 se ha actualizado a la 3.4.1, debe seguir el siguiente enlace para actualizar el guión a 3.4.1.

Actualizar a la versión 3.4.1 guiones

Los scripts 3.4.1 instalarán Backports más nuevo kernel en lugar de kernel inestable para el modo Suricata IPS con AF_PACKET .
SmoothSec Después de instalado, escriba lo siguiente:

smoothsec.first.setup

Snort –

Seleccione « ips-estándar » y siguiendo las instrucciones para instalar. Por favor, consulte también aquí para la configuración del archivo de configuración. Asegúrese de que « AF_ENGINE » está ajustado a « resoplido «. Las reglas son « et » por defecto

Después de la instalación, reinicia tu caja

Suricata -..

Seleccione « ips-estándar » y siguiendo las instrucciones para instalar. Por favor, consulte también aquí para la configuración del archivo de configuración. Asegúrese de que « AF_ENGINE » está ajustado a « suricata ". Las reglas son " et " por defecto.

Un nuevo kernel Linux 3.10.2 Se instalará al final.

Después de instalar, reiniciar su caja.

(E) Configuración de IDS / IPS

Es posible que tenga que desactivar y / o bajar algunas reglas (SID).

Snort -

Es posible que tenga que configurar el / etc / snort / snort.conf :

nano / etc / snort / snort.conf

Por ejemplo, la subred 192.168.1.0/24 es .

Reemplazar " ipvar HOME_NET cualquier " con " ipvar HOME_NET [192.168.1.0/24] "

Reemplazar " ipvar EXTERNAL_NET cualquier "con" ipvar EXTERNAL_NET [192.168.1.0/24] "

Reiniciar Snort:

/ etc / init.d / snort reinicio

reglas Desactivar:

nano / etc / pulledpork / snort / disablesid.conf

reglas de caída:

nano / etc / pulledpork / snort / dropsid.conf

Después de hacer eso, vuelva a cargar las reglas:

smoothsec.snort.rules.update

Suricata -

reglas Desactivar:

nano / etc / pulledpork / suricata / disablesid.conf

reglas de caída:

nano / etc / pulledpork / suricata / dropsid.conf

Después de hacer eso, vuelva a cargar las reglas:

smoothsec.suricata.rules.update

* Si la regla es demasiado largo para desactivar o descienda, usted podría considerar la posibilidad de editar " modifysid.conf ". Por ejemplo, para desactivar y soltar la siguiente regla:

Para deshabilitar la regla:

2013437 "alerta" "# # alert";

Para excluir a la regla:

2013437 "alerta" "gota";

configuración (F) de Snorby

Por ejemplo, la dirección IP del sensor es 192.168.1.180

Apunte su navegador a https.: / / 192.168.1.180 . Introduzca el nombre de usuario y la contraseña de Snorby.

Configuración de la Snorby según SmoothSec WiKi.

* Si usted quiere enviarle su Snorby informa por Postfix, necesita instalar usted mismo y configurarlo entonces.

sudo apt-get install sufijo

Seleccione " Sitio internet " cuando se le preguntó.

(G) IDS / IPS Sintonía

Es posible que algunos registros falsos positivos. Es necesario ajustar la configuración agregando el sid al disablesid.conf o dropsid.conf cuando sea necesario. Cuando su uso con dropsid.conf, yon puede que tenga que configurar cortafuegos en Router para que el trabajo hecho.

(H) Observaciones

En el ajuste de subtítulos, la SmoothSec actúa como IDS e IPS en una caja.

Si desea instalar IDS solamente, su SmoothSec sólo requiere una tarjeta de red que está conectado al switch.

Además, SmoothSec 3.4 viene con Distributed IDS / IPS, que le permite implementar múltiples sensores con un panel de control (Snorby)

Por otra parte, también puede restablecer la casilla para instalar el entorno fresco:

smoothsec.reset

Al utilizar Snorby, es posible que tenga que buscar el sid reglas. Este enlace es para la consulta de las normas.

Eso es todo! Hasta luego.