Empezamos el año hablando de la distro. Security Onion, y un mes y pico después consigo sentarme para escribir estas líneas xD.
Vamos a ponernos a trabajar. No voy a documentar el proceso de instalación… de una máquina virtual preconfigurada 🙂
Una vez arrancada, usamos el SETUP para configurar los interfaces de red y el networking.
Yo recomendaría usar un sistema con dos interfaces, para conectar «el sensor» por un lado, y el interface de administración por otro, con el fin de poder aplicar reglas de firewall entre zonas. Tener el sistema de monitorización y de gestión en la misma ip es darle pistas a un atacante, a atacarte el propio sistema de control xD
Es importante, o recomendable usar la función avanzada del wizard, para poder seleccionar los motores IDS snort o suricata.
Algunas instantáneas del «complicado» proceso de configuración…
Interesante me parece está opción.
Montamos todo en uno? Standalone. Montamos solo el server encargado de gestionar las incidencias? Server. o instalamos solo el sensor?
Creamos un usuario para los sistemas de reporting.
Para Snorby.
Y la clave para todo xD.
Con esto y un breve resumen de la ubicación de los ficheros de logs y configuración tenemos el bizcocho preparado.
Vamos a actualizar la distro.
sudo apt-get update && sudo apt-get dist-upgrade.
Y después de estos dos post, vamos a ver «cosas» simpáticas xD. Arrancamos Snorby, logueamos con el usuario ( el que creamos unos pasos antes, con forma de correo) y la clave.
Y si te creías que estabas a salvo, mira los indicadores que tienes, del rato que has tardado entre la configuración, y entrar a revisar.
En los próximos post, intentaré configurar un poco más las opciones, tunning y hardenning de la distro. Intercalaré información puntual de los sistemas de log´s, para hacerlo más ameno, ya que se que a los lectores os gusta ver máquinas comprometidas, amenazas, símbolos en rojo y tías/tíos desnudos :-P.
Como siempre, espero que os guste, y gracias por leerme.
