HOWTO: SmoothSec 3.2 (beta) como sistema de detección de intrusiones (IDS)

Voy a decirte cómo construir un Sistema affortable detección de intrusiones (IDS) en el hogar o SOHO o pequeña empresa. Para la construcción de un sistema de prevención de intrusiones (IPS), voy a escribir otro artículo sobre el tema más adelante

Hardware

Tarjetas Madre -. Intel Desktop Board D510MO
RAM – 4GB DDR2 (2 x 2GB)
Hard Drive – 320GB
Tarjeta de red 0 – Onboard Gigabit
Tarjeta de red 1 – TG-3269 Adaptador de red Gigabit PCI TP-Link (con perfil bajo)
Tarjeta de red 2 – D-Link DUB-E100 Adaptador USB 2.0 Fast Ethernet (hasta 200MB)

Software

Sistema operativo – SmoothSec 3.2 beta (64-bit). La versión beta ya no es existir. Por favor, vaya a la página oficial de la versión 3.2. La versión beta y la versión oficial son iguales. El sitio oficial es en aquí

Configuración

Internet -. Router - SmoothSec - Conmutador - Computadoras Personal

Tarjeta de red 0 y 1 se puentean para arriba mientras que la tarjeta de red 2 será una interfaz de administración

Paso 1:.

En primer lugar, SmoothSec (tarjeta de red 2) está conectado al conmutador mientras la tarjeta de la red 0 y 1 no se conectan al router. Es porque es necesario para conectarse a Internet para la instalación

Paso 2:.

Instalar SmoothSec como de costumbre. Cuando le pedirá instalar firmware no libre de interfaz de red, simplemente lo ignoran. Después de instalado, el cuadro será reinicio.

Entrar como «root » con la contraseña « Toor «.

Paso 3 (Corrección de errores):

Suricata

nano / etc / suricata / suricata.yaml

Localizar « - rápido: » y el cambio « habilitado: no » a « habilitado: sí «

Localizar.» - caída: «y el cambio» habilitado: no «a» habilitado: sí «

Localizar.» HOME_NET : '[192.168.1.0/24]' «y cambie a» HOME_NET : '[192.168.0.0/24]' «.

* o su subred.

zona horaria para Snorby

Si su zona horaria no es UTC, debe ejecutar el siguiente comando:

dpkg-reconfigure tzdata

Ajuste el huso horario para " UTC "en" Ninguno de lo anterior ";. de lo contrario, el Snorby será informado timestamp mal

nano / var / www / snorby / config / snorby_config. yml

Asegúrese de que " producción: " y "timezone_search : false ".

Asegúrese "time_zone : 'UTC' .". Se comenta
Configurar su zona horaria en la interfaz web Snorby cuando esté disponible después del paso 5

función de correo electrónico de Snorby

apt-get install sufijo libxrender-dev libfontconfig1

Configure el Postfix adecuadamente de acuerdo a tu red en " / etc / postfix / main.cf ".

nano / var / www / snorby / config / inicializadores / mail_config.rb

Elimine el comentario de las líneas justo debajo de " # Sendmail Ejemplo: "

Paso 4:.

Tarjeta Connect Network 0 al router y la tarjeta de red 1 a Switch.

normalmente, tarjeta de red 0 será eth0, Tarjeta de Red 1 será eth1 y tarjeta de red 2 será eth2.
nano / etc / network / interfaces

Comentario trata eth2 entradas.

Añada la siguiente:

auto eth2
del iface eth2 inet static
dirección 192.168.0.120
; netmask 255.255.255.0
gateway 192.168.0.1

* donde "dirección " es su SmoothSec IP la dirección y el "gateway " es la dirección IP de su router.

nano / etc / init.d / puente

Cambiar " net1 = eth1 " a " net1 = eth0 "
Cambiar " net2 = eth2 " a " net2 = eth1 "
Cambiar" brctl addif $ br eth1 "a" brctl addif $ br eth0 "
Cambiar" addif brctl $ eth2 br «a» brctl addif $ br eth1 «

impagos puente update-rc.d

Paso 5:.

Ejecute el script « smoothsec.first.setup » en la terminal

Tipo « br0 » al pedir interfaz de red monitor.

Seleccione « Snort » o « Suricata "como IDS Engine. Elijo " Suricata ".

A continuación, reinicie.

Una vez que arranque, vaya a uno de los ordenadores personales y busque "https :/ / 192.168.0.120 ". A continuación, establezca la zona horaria y su dirección de correo electrónico que informe en consecuencia

Paso 6:.

Para actualizar SmoothSec, que tiene que hacer los siguientes comandos ( usted puede hacer un script para hacerlo). Las normas se actualizarán automáticamente en la madrugada todos los días

apt-get update
apt-get dist-upgrade
apt-get -. Purga autoclean
apt-get - purge autoremove
# update SmoothSec
cd / root / updates /
git origen tirón maestro
# update Snorby
cd / var / www / snorby
origen git pull maestro
rake snorby: update
cd ~
pocilga # update
npm actualizar-g pocilga
npm update-g chiquero -mysql
# de actualización reglas Suricata smoothsec.suricata.rules.update

Problema conocido

Nada.

Usted debe recordar que el cuadro se encuentra en la zona horaria UTC.
Depurar la función de correo

No lo hagas ejecute los siguientes comandos a menos que usted realmente necesita.

cd / var / www / snorby

ejecutivo haz carriles producción c
Snorby :: Empleos :: SensorCacheJob.new (true). realizar
Snorby :: Empleos :: DailyCacheJob.new (true). realizar (Este comando no es válido para Snorby versión 2.6.2)

Referencia

Snorby GitHub
Suricata SmoothSec
Pocilga
SmoothSec WiKi - para la instalación

Eso es todo! Hasta luego.