IDS Policy Manager

IDS Policy Manager. Configuracin sensores snortremotos.Publicado el 6 marzo, 2008 de Alfon Ya vimos en el primer artculo dedicado a IDS Policy Manager la instalacin y configuracin de polticas y sensores Snort de forma local. En este artculo avanzamos un poco ms. Vamos a instalar y configurar un sensor remoto. De esta manera tenemos en un host todas las polticas de nuestros sensores remotos en Local que administraremos, modificaremos y actualizaremos. Una vez realizado esto se enviaran las configuraciones a los sensores remotos a tavs de Internet utilizando el protocolo FTP.

Actualizado 06-03-09 (14:24.)NOTA de ACTALIZACIONES: Disponible la tercera parte de este artculo:

IDS Policy Manager v3. Configuracin sensores snort remotos. Actualizacin desde v2.2.Creacin de la poltica para sensor remoto.Creamos una poltica Politica Sensor FW:

En este caso en Update Locations, es decir, la localizacin de rules o reglas de snort a aplicar a nuestro sensor remoto, vamos a usar las BlendingSnort :

Hemos creado una carpeta donde ubicamos ordenadamente todos los archivos de confiouracin Snort (snort.conf) correspondiente a la base de nuestras polticas.

Creacin y configuracin de nuestro sensor remotoAhora vamos a crear el sensor y configurar la localizacin de este y acceso a travs de FTP para actualizacin de politicas y reglas. Creamos un sensor Snort FW aplicando la poltica Politica Sensor FW. En Sensor Host introducimos la IP del host remoto donde se ubica el sensor Snort.

En este ejemplo: Configuramos el acceso via FTP. En el host remoto hemos creado la estructura de carpetas siguiente para las actualizaciones y acceso desde IDS Policy Manager:

Carpeta FTP base \snort Carpeta de reglas \snort\c\snort\rules En la carpeta base \snort se actualizar todo lo correspondiente a la carpeta \snort\etc de una instalacin Snort normal, es decir, snort.conf, etc.

La variable RULE_PATHen donde indicamos donde se ubican las reglas de Snort a actualizar, la cambiamos en IDS Policy Manager > Snort Policies > Politica Sensor FW > Variables > RULE_PATH para que qede de esta forma:

./c/snort/rulesNOTA IMPORTANTE: En general, hay que revisar todos los path, ya que nuestra instalacin para el ejemplo no est basada en la estructura normal c:\snort\.., est basada en una carpeta base FTP \snort\. Por tanto, tambin habr que cambiar los path de ubicacin de los Preprocesadores. Por ejemplo:IDS Policy Manager > Snort Policies > Politica Sensor FW > Preprocessor > dynamicpreprocesor que estar en c:\snort\lib\snort_dynamicpreprocessor y habr que actualizarlo a:

./c/snort/lib/snort_dynamicpreprocessory as con los dems.

As pues, todo depende de la estructura de ubicacin de Snort tomando como base la carpeta base para el acceso FTP desde el exterior. Este es el nico problrma con el que nos podemos encontrar para que todo funcione perfectamente. Cuando arranquemos snort, este nos indicar los errores que dependen de los paths errnemos.

La ubicacin del ejecutable Snort.exe las .dll en \snort Logicamente al correr snort debemos indicar la ubicacin del fichero snort.conf:

snort -dev -l ./c/snort/log -h 192.168.1.0/24 -c snort.confNOTA IMPORTANTE: al final del artculo otra forma de estructurar los ficheros en la carpeta de acceso FTP para que quede de forma que conserve la estructura lgica de una instalacion normal de Snort. De esta forma la confioguracin y acceso es ms sencillo. Configuramos, como hemos dicho, el acceso FTP:

Configuramos ahora los datos de autentificacin para el acceso a FTP:

Realizamos ahora el Update de las polticas, con las modificaciones de estas ya las actualizaciones de las reglas de repositorio elegido anteriormente (BlendingSnort):

Y para finalizar lo enviamos todo a nuestro Sensor Snort Remoto via FTP a travs de internet:

Actualizacines.06-03-2008

Estructura para acceso FTP de IDS Policy Manager e instalacin Snort.Podemos crear una base de carpeta para el acceso FTP usando la estructura lgica de una instalacin standart Snort.

Base directorio acceso FTP: c:\snort\ La variable RULE_PATHen donde indicamos donde se ubican las reglas de Snort a actualizar, la cambiamos en IDS Policy Manager > Snort Policies > Politica Sensor FW > Variables > RULE_PATH para que qede de esta forma:

./rules En el sensor Snort. Edit Sensor > Upload Setting > Upload Directory:

./etc/ La carpeta rules la movemos de c:\snort\rules a c:\snort\etc\rulesEl resto de variables, path para preprocesadores, etc lo dejamos tal cual. Tana solo la observacin que ya hicimos en su momento sobre los cambios a realizar para la versin 2.8 de Snort que indicamos en el artculo al respecto:

Sustituir la lnea :dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/por:dynamicpreprocessor directory c:\snort\lib\snort_dynamicpreprocessorSustituir la lnea :dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.soPor:dynamicengine c:\snort\lib\snort_dynamicengine\sf_engine.dll