Voy a decirte cómo construir un Sistema affortable detección de intrusiones (IDS) en el hogar o SOHO o pequeña empresa. Para la construcción de un sistema de prevención de intrusiones (IPS), voy a escribir otro artículo sobre el tema más adelante
Hardware
Tarjetas Madre -. Intel Desktop Board D510MO
RAM – 4GB DDR2 (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 – Onboard Gigabit
Tarjeta de red 1 – TG-3269 Adaptador de red Gigabit PCI TP-Link (con perfil bajo)
Tarjeta de red 2 – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)
Software
Sistema operativo – SmoothSec 3.2 beta (64-bit). La versión beta ya no es existir. Por favor, vaya a la página oficial de la versión 3.2. La versión beta y la versión oficial son iguales. El sitio oficial es en aquí
Configuración
Internet -. Router - SmoothSec - Conmutador - Computadoras Personal
Tarjeta de red 0 y 1 se puentean para arriba mientras que la tarjeta de red 2 será una interfaz de administración
Paso 1:.
En primer lugar, SmoothSec (tarjeta de red 2) está conectado al conmutador mientras la tarjeta de la red 0 y 1 no se conectan al router. Es porque es necesario para conectarse a Internet para la instalación
Paso 2:.
Instalar SmoothSec como de costumbre. Cuando le pedirá instalar firmware no libre de interfaz de red, simplemente lo ignoran. Después de instalado, el cuadro será reinicio.
Entrar como «root
» con la contraseña « Toor
«.
Paso 3 (Corrección de errores):
Suricata
nano / etc / suricata / suricata.yaml
Localizar « - rápido:
» y el cambio « habilitado: no
» a « habilitado: sí
«
Localizar.» - caída:
«y el cambio» habilitado: no
«a» habilitado: sí
«
Localizar.» HOME_NET : '[192.168.1.0/24]'
«y cambie a» HOME_NET : '[192.168.0.0/24]'
«.
* o su subred.
zona horaria para Snorby
Si su zona horaria no es UTC, debe ejecutar el siguiente comando:
dpkg-reconfigure tzdata
«a»
Ajuste el huso horario para " UTC
"en" Ninguno de lo anterior
";. de lo contrario, el Snorby será informado timestamp mal
nano / var / www / snorby / config / snorby_config. yml
Asegúrese de que " producción:
" y "timezone_search : false
".
Asegúrese "time_zone : 'UTC'
.". Se comenta
Configurar su zona horaria en la interfaz web Snorby cuando esté disponible después del paso 5
función de correo electrónico de Snorby
apt-get install sufijo libxrender-dev libfontconfig1
Configure el Postfix adecuadamente de acuerdo a tu red en " / etc / postfix / main.cf
".
nano / var / www / snorby / config / inicializadores / mail_config.rb
Elimine el comentario de las líneas justo debajo de " # Sendmail Ejemplo:
"
Paso 4:.
Tarjeta Connect Network 0 al router y la tarjeta de red 1 a Switch.
normalmente, tarjeta de red 0 será eth0, Tarjeta de Red 1 será eth1 y tarjeta de red 2 será eth2.
nano / etc / network / interfaces
Comentario trata eth2
entradas.
Añada la siguiente:
auto eth2
del iface eth2 inet static
dirección 192.168.0.120
; netmask 255.255.255.0
gateway 192.168.0.1
* donde "dirección
" es su SmoothSec IP la dirección y el "gateway
" es la dirección IP de su router.
nano / etc / init.d / puente
Cambiar " net1 = eth1
" a " net1 = eth0
"
Cambiar " net2 = eth2
" a " net2 = eth1
"
Cambiar" brctl addif $ br eth1
"a" brctl addif $ br eth0
"
Cambiar" brctl addif $ br eth1
«
impagos puente update-rc.d
Paso 5:.
Ejecute el script « smoothsec.first.setup
» en la terminal
Tipo « br0
» al pedir interfaz de red monitor.
Seleccione « Snort
» o « Suricata "como IDS Engine. Elijo "
Suricata ".
A continuación, reinicie.
Una vez que arranque, vaya a uno de los ordenadores personales y busque "https :/ / 192.168.0.120
". A continuación, establezca la zona horaria y su dirección de correo electrónico que informe en consecuencia
Paso 6:.
Para actualizar SmoothSec, que tiene que hacer los siguientes comandos ( usted puede hacer un script para hacerlo). Las normas se actualizarán automáticamente en la madrugada todos los días
apt-get update
apt-get dist-upgrade
apt-get -. Purga autoclean
apt-get - purge autoremove
# update SmoothSec
cd / root / updates /
git origen tirón maestro
# update Snorby
cd / var / www / snorby
origen git pull maestro
rake snorby: update
cd ~
pocilga # update
npm actualizar-g pocilga
npm update-g chiquero -mysql
# de actualización reglas Suricata smoothsec.suricata.rules.update
Problema conocido
Nada.
Usted debe recordar que el cuadro se encuentra en la zona horaria UTC.
Depurar la función de correo
No lo hagas ejecute los siguientes comandos a menos que usted realmente necesita.
cd / var / www / snorby
ejecutivo haz carriles producción c
Snorby :: Empleos :: SensorCacheJob.new (true). realizar
Snorby :: Empleos :: DailyCacheJob.new (true). realizar (Este comando no es válido para Snorby versión 2.6.2)
Referencia
Snorby GitHub
Suricata SmoothSec
Pocilga
SmoothSec WiKi - para la instalación
Eso es todo! Hasta luego.