Siguiendo con la segunda parte de este artículo, veremos a continuación como configurar WEBSNORT para la visualización de alertas de Snort.
(Primera parte del artículo: https://backtrackacademy.com/articulo/implementacion-automatizada-de-snort-ids-ips-con-snorter-parte-i)
WEBSNORT es un servicio web que permite subir archivos pcap para que sean analizados por los IDS/IPS configurados y devuelve como resultado el detalle del análisis y las alertas arrojadas por el IDS/IPS, mediante una interfaz amigable y de fácil lectura para el usuario.
Websnort permite que los archivos puedan subirse mediante la interfaz web o mediante su API.
Durante el proceso de instalación con Snorter, se nos presentará la opción de instalar WEBSNORT, a la cual le diremos que sí.
Posteriormente se nos pedirá reiniciar el equipo para completar todas las instalaciones, le diremos que sí:
Luego de reiniciar el equipo, editamos el archivo de configuración de Snort, para descomentar la linea 530, que nos permitirá obtener un log de los paquetes capturados por Snort en formato pcap, ya que en este caso, utilizaremos este archivo para ver las alertas desde WEBSNORT:
Ahora, procedemos a crear algunas reglas básicas para probar Snort, editando el archivo de reglas locales: local.rules. Estas reglas generarán alertas al detectar tráfico ICMP, TCP y UDP dentro de nuestra red.
Luego de tener nuestro archivo configurado y las reglas de prueba, procedemos a ejecutar Snort.
Ahora solo nos queda generar tráfico en nuestra red y al detener Snort, tendremos el log en formato pcap. El log tiene la estructura: tcpdump.log.xxxxxxxxxx.
Ahora, podemos iniciar WEBSNORT desde la consola, con el comando websnort:
Luego de iniciado, nos dirigimos a la URL por el cual se ejecuta WEBSNORT por defecto: http://0.0.0.0:8080/
Veremos la interfaz de WEBSNORT donde nos solicita subir un archivo en formato PCAP, por lo que procedemos a cargar el archivo log generado previamente:
Cuando termine de analizar y procesar la información, veremos el resultado en Pantalla:
En la primera sección veremos información del archivo cargado como su nombre, peso y hash en MD5, así como la fecha y hora en que inició el proceso de análisis y por cuanto tiempo permaneció activo. Además nos muestra el estatus del proceso del archivo, en este caso exitoso.
A continuación nos muestra información del IDPS con el que se procesó la información, ya que podríamos tener otros IDPS configurados con WEBSNORT y analizar los archivos pcap en cada uno de ellos. Esta sección nos muestra además la versión del IDS/IPS, el set de reglas utilizado, la duración del servicio Snort y la cantidad de registros:
Luego, nos listará cada una de las alertas generadas: