Relacionado con Snort y herramientas de análisis de alertas, centros IDS/IPS, etc ya hemos visto aquí otras otras soluciones similares como Snorby, EASY IDS, Security Onion, SIEM Prelude IDS/IPS, Smooth-Sec, Suricata, IDS Policy Manager, etc, etc.


En esta ocasión vamos a hablar de SNEZ. Se trata de una GUI o interface gráfica web basada en PHP/mysql para gestión y análisis de alertas Snort. La gran ventaja de SNEZ es su facilidad de instalación y configuración.
Al lío.

Instalación y configuración de SNEZ.

Código:
 
wget http://sourceforge.net/projects/snez/files/downloads/SNEZ-0.1.tar.gz 
tar -xzvf SNEZ-0.1.tar.gz 
cd SNEZ-0.1
Una vez dentro de SNEZ, tenemos lo siguiente:

Código:
 
~/SNEZ-0.1$ ls
AUTHORS BUGS COPYING README SNEZ SNEZcreate SNEZcreatetables TODO urldecode.txt urlencode.txt

Pues bien, ejecutamos SNEZcreate para crear la base de datos SNEZ y usuario:

Código:
 
$ ./SNEZcreate 
provide root password for sql db:xxxxxxxxxxxxxxxx 
provide a password for the SNEZ db:yyyyyyyyyyyyyy
  • provide root password for sql db. Se refiere a la contraseña root de mysql.
  • provide a password for the SNEZ db. Se refiere a la contraseña del usuario snort para la base de datos mysql snort donde se alamacenan los datosde alertas, etc.
Ahora entramos en la carpeta SNEZ que se encuentra en SNEZ-0.1/SNEZ y editamos SNEZconfig.php:



Tanto en SNEZ.password como en ids.paswword, ponemos la contraseña que indicamos en provide a password for the SNEZ db cuando ejecutamos el script SNEZcreate.
Ejecutando SNEZ.

Ahora copiamos tosdo el contenido de SNEZ-0.1/SNEZ/ en el sitio web. En mi caso yo he creado /usr/share/snez/htdocs y en esté ultimo he copiado todo el contenido. He creado también un virtualhost en puerto 83 en mi Apache. De esta forma indico en el navegador web la IP donse se encuentra SNEZ:

http://192.168.1.96:83/SNEZ/SNEZlogin.php

Nos pide Username y Password. Para los dos es admin y:


A partir de ahí podemos ir navagando por las opciones, análisis, criterios de búsqueda (columna filter), etc, etc.
Base datos Snort.

Evidentemente tenemos que tener nuestro sensor Snort preparado par aque envíe las alertas a una base de datos mysql:
Creamos la base se datos:

Código:
 
echo “create database snort;” | mysql -u root -p
mysql -u root -p -D snort < ./schemas/create_mysql

Otorgamos permisos:

Código:
 
echo “grant create, insert, select, delete, update on snort.* to snort@localhost \
identified by ‘adman100′” | mysql -u root -p

En este caso permisos para localhost. Yo, además, otorgé permisos para que Snort (192.168.1.30) enviara las alertas a un host remoto donde se encuentra la base de datos snort y SNEZ (192.168.1.96).
En el archivo de configuración snort.conf debemos indicar que las alertas las enviamos a una base de datos mysql:

Código:
 
output database: log, mysql, user=snort password=yyyyyyyy dbname=snort host=192.168.1.96

El password debe ser el mismo que indicamos:
  • SNEZ.password
  • ids.paswword
que vimos en el archivo SNEZconfig.php más arriba y también el mismo que indicamos en:
  • provide a password for the SNEZ db
indicado al principio cuandio ejecutamos el script SNEZcreate.

======================================0

Fuente: http://seguridadyredes.wordpress.com...da-para-snort/