HOWTO: Sistema de detección de intrusiones (IDS) de forma fácil con SmoothSec 3.2

La construcción de un IDS (Intrusion Detection System) en el hogar / SOHO no es un sueño hoy. SmoothSec 3.2 está diseñado para el despliegue de IDS y sin lágrimas. Puede utilizar un hardware muy de gama baja para este fin. Para implementar IDS, se le requiere al menos 2 tarjetas de red (interfaz de red) si tiene un interruptor de la gestión con el puerto SPAN. . Si usted no tiene este pedazo de equipo costoso, usted puede construir uno con 3 tarjetas de red

Hardware

Tarjetas Madre – Intel Desktop Board D510MO
RAM – 4GB DDR2 (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 – Onboard Gigabit
Tarjeta de red 1 – TG-3269 Adaptador de red Gigabit PCI TP-Link (con perfil bajo)
Tarjeta de red 2 – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)

Software

Sistema operativo – Debian 7 (Wheezy) IDS / IPS sistema preconfigurado – SmoothSec 3.2 (64-bit)
IDS / IPS Motor -. Suricata
Configuración

Internet - Router - SmoothSec - Conmutador - Computadoras Personal

Tarjeta de red 0 y 1 serán puenteados para arriba mientras que la tarjeta de red 2 habrá una interfaz de administración

Paso 1:.

En primer lugar, SmoothSec (tarjeta de red 2) está conectado al conmutador de red mientras Tarjeta de 0 y 1 no se conectan al router. Es porque es necesario para conectarse a Internet para la instalación

Paso 2:.

Instalar SmoothSec como de costumbre o seguir el wiki. Durante la instalación, se le pedirá algunos firmware se echa en falta, sólo lo ignora como algunos firmware para Realtek 8169 están desaparecidos. Es inofensivo para hacerlo. Después de instalado, el cuadro será reinicio.

Entrar como «root » con la contraseña « Toor «.

Paso 2a:

Para mejorar la SmoothSec:

apt-get - purge eliminar arpwatch
apt-get install Arpalert openjdk-7-jre fail2ban
cd / etc / Arpalert /
mv oui.txt oui.txt.old
wget http://standards.ieee.org/regauth/oui/oui . txt

Paso 3 (Configuración del Suricata):

Suricata

nano / etc / suricata / suricata.yaml

Localizar « - rápido: » y el cambio « habilitado: no «a» habilitado: sí - caída: «y el cambio» habilitado: no
Localizar." code> "a" permitido:. sí "

zona horaria para Snorby

Si su zona horaria no es UTC, debe ejecutar el siguiente comando:

dpkg-reconfigure tzdata

Configurar la zona horaria " UTC "a" Ninguno de lo anterior ", de lo contrario, el Snorby será informado timestamp mal

Configurar su zona horaria en la interfaz web Snorby cuando esté disponible después de . Paso 5 .

función de correo electrónico de Snorby

apt-get install sufijo

Configurar el Postfix adecuadamente de acuerdo a tu red en " / etc / postfix / main.cf ".

nano / var / www / snorby / config / inicializadores / mail_config.rb

Elimine el comentario de las líneas justo debajo de " # Sendmail Ejemplo: ".

Paso 4:.

Tarjeta Connect Network 0 al router y la tarjeta de red 1 a Switch

normalmente, tarjeta de red 0 será eth0, Tarjeta de Red 1 será eth1 y tarjeta de red 2 será eth2.
nano / etc / network / interfaces

Comentario trata eth2 entradas.

Añada la siguiente:

auto eth2
del iface eth2 inet static dirección
192.168.0.120
netmask 255.255.255.0
gateway 192.168.0.1

* donde "dirección " ¿Es tu dirección IP SmoothSec y "pasarela de " es la dirección IP de su router.

nano / etc / init.d / puente

Cambiar " net1 = eth1 " a " net1 = eth0 "
Cambiar " net2 = eth2 " para " net2 = eth1 "
Cambiar " brctl addif $ br eth1 " a " brctl addif $ br eth0 "
Cambio " brctl addif $ br eth2 " a " brctl addif $ br eth1 "

impagos puente update-rc.d

Paso 5:.

Ejecute el script " smoothsec.first.setup " en la terminal

Tipo " br0 " al pedir interfaz de red monitor.

Seleccione " Snort " o " Suricata ", como IDS Engine. Elijo " Suricata ".

Dirección de correo electrónico y contraseña son para Snorby interfaz web de inicio de sesión.

A continuación, reinicie.

Una vez que arranque, vaya a uno de los ordenadores personales y navega " https://192.168.0.120 ". A continuación, establezca la zona horaria y su dirección de correo electrónico que informe en consecuencia

Paso 6:.

Para actualizar SmoothSec, que tiene que hacer los siguientes comandos ( usted puede hacer un script para hacerlo). Las normas se actualizarán automáticamente en la madrugada todos los días

apt-get update
apt-get dist-upgrade
apt-get -. Purga autoclean
apt-get - purge autoremove
# update SmoothSec
cd / root / updates /
origin master git pull
depuración la función de correo

No ejecute los siguientes comandos a menos que usted realmente necesita.

cd / var / www / snorby

producción rieles exec paquete c
Snorby :: Empleos :: SensorCacheJob.new (true). realizar

Problema conocido

Pocilga se bloqueará aleatoriamente. Como resultado, no captura en Snorby. El problema ha sido reportado, ver aquí. -> La solución es ejecutar una secuencia de comandos bash en las pruebas cada 5 minutos para empezar Pocilga de nuevo

nano / root / chkpigstylog

#. ! / bin / bash
# Comprobar si "Error:" en pigsty.log o no. Si es así, una vez más empezar Pocilga
STRING = "Error:".
si grep-R "$ cadena" / var / log / pigsty.log
a continuación,
/ root / runpigsty
fi

nano / root / runpigsty

#! / bin / bash
/ usr / local / bin / pocilga-c / etc / pocilga / suricata.pigsty.config.js-i eth0-n "Suricata"-d / var / log / suricata / m unified2.alert. *-D

crontab-e
* / 5 **** / root / chkpigstylog

actualización

Los desarrolladores acaba de arreglar el problema. Usted acaba de actualizar el Pocilga con el siguiente comando:

npm actualización pocilga-mysql-g
npm actualización pocilga-g

Referencia

Snorby GitHub
Suricata SmoothSec
Pocilga
SmoothSec WiKi - para la instalación

Es todos! Hasta luego.