La construcción de un IDS (Intrusion Detection System) en el hogar / SOHO no es un sueño hoy. SmoothSec 3.2 está diseñado para el despliegue de IDS y sin lágrimas. Puede utilizar un hardware muy de gama baja para este fin. Para implementar IDS, se le requiere al menos 2 tarjetas de red (interfaz de red) si tiene un interruptor de la gestión con el puerto SPAN. . Si usted no tiene este pedazo de equipo costoso, usted puede construir uno con 3 tarjetas de red
Hardware
Tarjetas Madre – Intel Desktop Board D510MO
RAM – 4GB DDR2 (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 – Onboard Gigabit
Tarjeta de red 1 – TG-3269 Adaptador de red Gigabit PCI TP-Link (con perfil bajo)
Tarjeta de red 2 – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)
Software
Sistema operativo – Debian 7 (Wheezy) IDS / IPS sistema preconfigurado – SmoothSec 3.2 (64-bit)
IDS / IPS Motor -. Suricata
Configuración
Internet - Router - SmoothSec - Conmutador - Computadoras Personal
Tarjeta de red 0 y 1 serán puenteados para arriba mientras que la tarjeta de red 2 habrá una interfaz de administración
Paso 1:.
En primer lugar, SmoothSec (tarjeta de red 2) está conectado al conmutador de red mientras Tarjeta de 0 y 1 no se conectan al router. Es porque es necesario para conectarse a Internet para la instalación
Paso 2:.
Instalar SmoothSec como de costumbre o seguir el wiki. Durante la instalación, se le pedirá algunos firmware se echa en falta, sólo lo ignora como algunos firmware para Realtek 8169 están desaparecidos. Es inofensivo para hacerlo. Después de instalado, el cuadro será reinicio.
Entrar como «root » con la contraseña « Toor «.
Paso 2a:
Para mejorar la SmoothSec:
apt-get - purge eliminar arpwatch
apt-get install Arpalert openjdk-7-jre fail2ban
cd / etc / Arpalert /
mv oui.txt oui.txt.old
wget http://standards.ieee.org/regauth/oui/oui . txt
Paso 3 (Configuración del Suricata):
Suricata
nano / etc / suricata / suricata.yaml
Localizar « - rápido: » y el cambio « habilitado: no «a» habilitado: sí - caída: «y el cambio» habilitado: no
Localizar." code> "a" permitido:. sí "
zona horaria para Snorby
Si su zona horaria no es UTC, debe ejecutar el siguiente comando:
dpkg-reconfigure tzdata
Configurar la zona horaria " UTC "a" Ninguno de lo anterior ", de lo contrario, el Snorby será informado timestamp mal
Configurar su zona horaria en la interfaz web Snorby cuando esté disponible después de . Paso 5 .
función de correo electrónico de Snorby
apt-get install sufijo
Configurar el Postfix adecuadamente de acuerdo a tu red en " / etc / postfix / main.cf ".
nano / var / www / snorby / config / inicializadores / mail_config.rb
Elimine el comentario de las líneas justo debajo de " # Sendmail Ejemplo: ".
Paso 4:.
Tarjeta Connect Network 0 al router y la tarjeta de red 1 a Switch
normalmente, tarjeta de red 0 será eth0, Tarjeta de Red 1 será eth1 y tarjeta de red 2 será eth2.
nano / etc / network / interfaces
Comentario trata eth2 entradas.
Añada la siguiente:
auto eth2
del iface eth2 inet static dirección
192.168.0.120
netmask 255.255.255.0
gateway 192.168.0.1
* donde "dirección " ¿Es tu dirección IP SmoothSec y "pasarela de " es la dirección IP de su router.
nano / etc / init.d / puente
Cambiar " net1 = eth1 " a " net1 = eth0 "
Cambiar " net2 = eth2 " para " net2 = eth1 "
Cambiar " brctl addif $ br eth1 " a " brctl addif $ br eth0 "
Cambio " brctl addif $ br eth2 " a " brctl addif $ br eth1 "
impagos puente update-rc.d
Paso 5:.
Ejecute el script " smoothsec.first.setup " en la terminal
Tipo " br0 " al pedir interfaz de red monitor.
Seleccione " Snort " o " Suricata ", como IDS Engine. Elijo " Suricata ".
Dirección de correo electrónico y contraseña son para Snorby interfaz web de inicio de sesión.
A continuación, reinicie.
Una vez que arranque, vaya a uno de los ordenadores personales y navega " https://192.168.0.120 ". A continuación, establezca la zona horaria y su dirección de correo electrónico que informe en consecuencia
Paso 6:.
Para actualizar SmoothSec, que tiene que hacer los siguientes comandos ( usted puede hacer un script para hacerlo). Las normas se actualizarán automáticamente en la madrugada todos los días
apt-get update
apt-get dist-upgrade
apt-get -. Purga autoclean
apt-get - purge autoremove
# update SmoothSec
cd / root / updates /
origin master git pull
depuración la función de correo
No ejecute los siguientes comandos a menos que usted realmente necesita.
cd / var / www / snorby
producción rieles exec paquete c
Snorby :: Empleos :: SensorCacheJob.new (true). realizar
Problema conocido
Pocilga se bloqueará aleatoriamente. Como resultado, no captura en Snorby. El problema ha sido reportado, ver aquí. -> La solución es ejecutar una secuencia de comandos bash en las pruebas cada 5 minutos para empezar Pocilga de nuevo
nano / root / chkpigstylog
#. ! / bin / bash
# Comprobar si "Error:" en pigsty.log o no. Si es así, una vez más empezar Pocilga
STRING = "Error:".
si grep-R "$ cadena" / var / log / pigsty.log
a continuación,
/ root / runpigsty
fi
nano / root / runpigsty
#! / bin / bash
/ usr / local / bin / pocilga-c / etc / pocilga / suricata.pigsty.config.js-i eth0-n "Suricata"-d / var / log / suricata / m unified2.alert. *-D
crontab-e
* / 5 **** / root / chkpigstylog
actualización
Los desarrolladores acaba de arreglar el problema. Usted acaba de actualizar el Pocilga con el siguiente comando:
npm actualización pocilga-mysql-g
npm actualización pocilga-g
Referencia
Snorby GitHub
Suricata SmoothSec
Pocilga
SmoothSec WiKi - para la instalación
Es todos! Hasta luego.
