IDS Policy Manager v3
of 11
Transcript of IDS Policy Manager v3
IDS Policy Manager v3
IDS Policy Manager v3. Configuracin sensores snort remotos. Actualizacin desdev2.2.Publicado el 10 febrero, 2010 de Alfon Ya vimos en la primera parte de IDS Policy Manager que:
IDS Policy Manager es una herramienta para la administracin en sistemas Windows de mltiples sensores IDS Snort para entornos distribuidos. Permite administrar las reglas en forma de polticas por sensor. Adems de las reglas tambin es posible configurar todo el entorno del Sensor tal como preprocesadores, variables, mdulos de salida y, en general, todo lo configurable en Snort a travs del fichero de configuracin snort.conf.IDS Policy Manager puede, adems, administrar sensores remotos, de tal forma que cualquier modificacin de reglas o configuracin del sensor lo podemos actualizar desde un solo host hacia varios sensores en hosts remotos.Con ms profundidad en la parte 2 de IDS Policy Manager vimos la configuracin de varios sensores remotos y otras configuraciones.
Tambin vimos como analizar los logs producidos por Snort con herramientas como Snortalog, actualizar los reglas con Okimaster, gestin de altertas con mysql.. y muy relacionado con IDS Policy Manager tenemos tambin Honeynet Security Console. Analizando logs y eventos de Snort.
En esta ocasin, vamos a actualizar, mediante una serie de herramientas implementadas en IDS Policy Manager, desde la versin v2.2 a la versin v3. Tambin crearemos un nuevo sensor y veremos una de las novedades de esta versin: el DashBoard y la nueva ventana de creacin y modificacin de snort rules o reglas snort.
Actualizacin de IDS Policy Manager v3. NOTA: Es conveniente realizar copia de seguridad de nuestras rules, snort.conf y cualquier configuracin de snort, ya que IDS Policy Manager modificar dichos archivos. Si ya tenamos instalada, configurada y en produccin la versin v2.2, al abrir el Manager, se nos desplegar una ventana de aviso para la actualizacin con las mejores aplicadas, ademas de bugs ya tratados:
Un aviso para actualizar la localizacin de las reglas que definimos en Update Locations:
Y se actualizan:
En Options > Settings veremos que se actualizn incluso nuestro Oink Code.
Las polticas y sensores se pueden actualizar desde Options > Import Policies and Sensors:
Con estos pasos ya tenemos actualizado nuestro IDS Policy Manager desde la versin v2.2 a v3:
La configuracin y uso de IDS Policy Manager ya lo vimos en estas dos entradas:
IDS Policy Manager. Configuracin y Funcionamiento. Administracin multiples sensores y politicas snort. IDS Policy Manager. Configuracin sensores snort remotos.Relacionado con IDS Policy Manager tenemos tambin Honeynet Security Console. Analizando logs y eventos de Snort.DashBoard. Paneles de informacin.En la ventana principal tenemos el DashBorad, ventana dividida en 4 paneles informativos:
Panel 1. Informacin sobre los sensores
Panel 2. Informacin sobre las polticas
Panel 3. Grfica sobre actualizacin de reglas
Panel 4. Un Top Ten de reglas del da anterior, semana y ltimos 30 das.
Creacin de un nuevo sensor.Desde Snort Sensors > Add Sensor
Pestaa Upload Setting para ubicacin del snort.conf:
Autentificacin del host donde se ubica el sensor:
Ya tenemos nuestro nuevo sensor creado. Est activado pero no preparado para trabajar. Hay que volcar las polticas para el nuevo sensor:
Para ello nos situamos en el sensor y con el botn derecho del ratn.. Upload Policies to Sensor, marcamos los sesores o sensor a actualizar o volcar polticas y Start. Se realiza el proceso..:
Una vez terminado:
Entonces ya podemos trabajar con el nuevo Snort sensor. En nuestro caso, vamos a modificar, en el preprocesador stream5 que ya vimos en su momento aqu.
Cambiando los valores de configuracin del preprocesador stream5 en las polticas que hemos denominado FW, modificamos dichos valores para todos los sensores dependientes de la poltica FW.
Creacin y configuracin de reglas Snort Policies.Existen algunas diferencias entra la ventana de creacin y modificacin de reglas snort entr la versin v2.2 y v3.
Versin v2.2:
Versin v3:
Entre los cambios tenemos:
Se aade una pestaa: Policies para ver a que poitica est configurada la regla.
Se aade Update Location para informacin de localizaciones de actualizacin de reglas.
Informacin sobre referencias de la regla o Reference.
Se aade versin de Snort de la regla.
Se aade fecha de ltima actualizacin.
Mejor gestin de la base de datos de almacenamiento de las polticas.
Se corrigen algunos fallos de versiones anteriores.
