Ya vimos en la primera parte de IDS Policy Manager que:
IDS Policy Manager es una herramienta para la administración en sistemas Windows de múltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de políticas por sensor. Además de las reglas también es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, módulos de salida y, en general, todo lo configurable en Snort a través del fichero de configuración snort.conf.
IDS Policy Manager puede, además, administrar sensores remotos, de tal forma que cualquier modificación de reglas o configuración del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.
Con más profundidad en la parte 2 de IDS Policy Manager vimos la configuración de varios sensores remotos y otras configuraciones.
También vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestión de altertas con mysql….. y muy relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.
En esta ocasión, vamos a actualizar, mediante una serie de herramientas implementadas en IDS Policy Manager, desde la versión v2.2 a la versión v3. También crearemos un nuevo sensor y veremos una de las novedades de esta versión: el DashBoard y la nueva ventana de creación y modificación de snort rules o reglas snort.
Actualización de IDS Policy Manager v3.
NOTA: Es conveniente realizar copia de seguridad de nuestras rules, snort.conf y cualquier configuración de snort, ya que IDS Policy Manager modificará dichos archivos.
Si ya teníamos instalada, configurada y en producción la versión v2.2, al abrir el Manager, se nos desplegará una ventana de aviso para la actualización con las mejores aplicadas, ademas de bugs ya tratados:
Un aviso para actualizar la localización de las reglas que definimos en Update Locations:
Y se actualizan:
En Options > Settings veremos que se actualizón incluso nuestro Oink Code.
Las políticas y sensores se pueden actualizar desde Options > Import Policies and Sensors:
Con estos pasos ya tenemos actualizado nuestro IDS Policy Manager desde la versión v2.2 a v3:
La configuración y uso de IDS Policy Manager ya lo vimos en estas dos entradas:
Relacionado con IDS Policy Manager tenemos también Honeynet Security Console. Analizando logs y eventos de Snort.
DashBoard. Paneles de información.
En la ventana principal tenemos el DashBorad, ventana dividida en 4 paneles informativos:
- Panel 1. Información sobre los sensores
- Panel 2. Información sobre las políticas
- Panel 3. Gráfica sobre actualización de reglas
- Panel 4. Un Top Ten de reglas del día anterior, semana y últimos 30 días.
Creación de un nuevo sensor.
Desde Snort Sensors > Add Sensor
Pestaña Upload Setting para ubicación del snort.conf:
Autentificación del host donde se ubica el sensor:
Ya tenemos nuestro nuevo sensor creado. Está activado pero no preparado para trabajar. Hay que «volcar» las políticas para el nuevo sensor:
Para ello nos situamos en el sensor y con el botón derecho del ratón.. Upload Policies to Sensor, marcamos los sesores o sensor a actualizar o volcar políticas y Start. Se realiza el proceso…..:
Una vez terminado:
Entonces ya podemos trabajar con el nuevo Snort sensor. En nuestro caso, vamos a modificar, en el preprocesador stream5 que ya vimos en su momento aquí.
Cambiando los valores de configuración del preprocesador stream5 en las políticas que hemos denominado FW, modificamos dichos valores para todos los sensores dependientes de la política FW.
Creación y configuración de reglas Snort Policies.
Existen algunas diferencias entra la ventana de creación y modificación de reglas snort entr la versión v2.2 y v3.
Versión v2.2:
Versión v3:
Entre los cambios tenemos:
- Se añade una pestaña: Policies para ver a que poitica está configurada la regla.
- Se añade Update Location para información de localizaciones de actualización de reglas.
- Información sobre referencias de la regla o Reference.
- Se añade versión de Snort de la regla.
- Se añade fecha de última actualización.
- Mejor gestión de la base de datos de almacenamiento de las políticas.
- Se corrigen algunos fallos de versiones anteriores.
Todos los artículos sobre IDS Policy Manager:
IDS Policy Manager. Configuración y Funcionamiento. Administración multiples sensores y politicas snort.
IDS Policy Manager. Configuración sensores snort remotos.
IDS Policy Manager v3. Configuración sensores snort remotos. Actualización desde v2.2.
–