Cuadro Comparativo Entre Snorby Y Suricata
Páginas: 12 (2874 palabras)
Publicado: 18 de febrero de 2013
CUADRO COMPARATIVO ENTRE SNORBY Y SURICATA
SNORBY | SURICATA |
Que es Snorby?SNORBY es, un front-end para la gestión de alertas Snort basado en la gestión de sensores remotos, de alta capacidad de configuración de alertas y reglas, sin necesidad de apache/mysql, oinkmaster, etc, cuenta con una interfaz gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de lasalertas. Tiene mucha menos configuración y por tanto es más sencillo. Snorby es un interface web para la monitorización y gestión de Suricata que facilita la cuantificación de las alertas emitidas por el IDS/IPS contando con un sencillo cuadro resumen a través del cual podremos tener una visión del estado de las alertas a alto nivel e ir descendiendo hasta el detalle de las alertas.
Captura de paquetescompletos
Snorby soporta OpenFPC, la capacidad de tener una transcripción completa del tráfico de red, permite a un analista ser capaz de ver toda la conversación que rodea a un ataque. Con las típicas soluciones de IDS, sólo se observa alrededor de 300 bytes del tráfico. Eso es difícil de determinar si el compromiso que realmente ocurrió, ahora no es así? En resumen, con Snorby podemos teneruna visión rápida de las alertas generadas por los distintos sensores y poco más. Eso sí una interfaz intuitiva y moderna.Descarga e instalación. Fácil InstalaciónPodemos instalar Snorby de la forma más común que sería instalando cada uno de sus componentes; apache2, mysql, oinkmaster, snorby, etc. Pero también podemos descargar una Snorby Virtual Appliance en un archivo .iso listo para usar comoLive con una pre configuración básica o, incluso, instalar en un disco duro. Nosotros en este caso y para ver como configurarlo, etc usaremos el modo Live.Configuración básica de SnorbyUna vez descargada la .iso y grabada en CD, arrancamos nuestra máquina con Snorby o mediante VMware Player, en mi caso con este ultimo.Lo primero que nos aparece es una ventana indicando que no tenemos configurada lared. Le damos a ok y nos aparece otra ventana con dos opciones: * DHCP * StaticIPEn mi caso uso la configuración para IP estática y manual, le damos a select con la opción seleccionada e introducimos los datos y apply. Nos apareceré la pantalla anterior y varias opciones. En mi caso lo dejo como está y le doy a Back.Se nos informa de las formas de acceso a Snorby: por http para la interface oSSH/SFTP.Ya tenemos la información y si podemos dar a Quit. Listo.Ahora podemos acceder a la interface desde un navegador y desde cualquier máquina de nuestra red desde https://192.168.1.69:8080/, introducir el usuario y pass Snorby / admin y ya estamos dentro, pero aún nos queda, para que funcione, algunos retoques más.Por ejemplo, no tenemos configurado Snort, las reglas etc, para ello:nano/etc/snort/snort.confCambiamos lo que sea necesario según nuestras necesidades, activar las reglas que queramos, variables, etc. * Sistemas de Detección de intrusos y Snort. (I) * Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I). * Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas. * Oinkmaster. Actualizando las reglasSnort. * Snortuna vez realizado esto:Guardamos con F2, Yes y Enter.Iniciamos el servicio snort:/etc/init.d/snort startCualquier cambio en snort.conf debe ir precedido de un reinicio del servicio, antes un stop, etc:/etc/init.d/snort restart / stop / startBien, con esto, tenemos configurado de forma básica Snort. Ahora vamos a ejecutarlo de la forma:snort -D -i eth0 -u snorby -c /etc/snort/snort.confDesde el navegador introducimos la dirección donde se encuentra nuestro snorby: https://192.168.1.69:8080/ e introducimos el Login Snorby y el Password admin, hacemos login y entramos en el Dashboard.Si hay algún problema, modemos hacer una serie de comprobaciones. Para ello introducimos la linea de snort siguiente:snort -i eth0 -u snorby -c /etc/snort/snort.conf (sin -D)Con lo que snort nos...
SNORBY | SURICATA |
Que es Snorby?SNORBY es, un front-end para la gestión de alertas Snort basado en la gestión de sensores remotos, de alta capacidad de configuración de alertas y reglas, sin necesidad de apache/mysql, oinkmaster, etc, cuenta con una interfaz gráfica es muy sencilla con una visión amplia e intuitiva de la visualización de lasalertas. Tiene mucha menos configuración y por tanto es más sencillo. Snorby es un interface web para la monitorización y gestión de Suricata que facilita la cuantificación de las alertas emitidas por el IDS/IPS contando con un sencillo cuadro resumen a través del cual podremos tener una visión del estado de las alertas a alto nivel e ir descendiendo hasta el detalle de las alertas.
Captura de paquetescompletos
Snorby soporta OpenFPC, la capacidad de tener una transcripción completa del tráfico de red, permite a un analista ser capaz de ver toda la conversación que rodea a un ataque. Con las típicas soluciones de IDS, sólo se observa alrededor de 300 bytes del tráfico. Eso es difícil de determinar si el compromiso que realmente ocurrió, ahora no es así? En resumen, con Snorby podemos teneruna visión rápida de las alertas generadas por los distintos sensores y poco más. Eso sí una interfaz intuitiva y moderna.Descarga e instalación. Fácil InstalaciónPodemos instalar Snorby de la forma más común que sería instalando cada uno de sus componentes; apache2, mysql, oinkmaster, snorby, etc. Pero también podemos descargar una Snorby Virtual Appliance en un archivo .iso listo para usar comoLive con una pre configuración básica o, incluso, instalar en un disco duro. Nosotros en este caso y para ver como configurarlo, etc usaremos el modo Live.Configuración básica de SnorbyUna vez descargada la .iso y grabada en CD, arrancamos nuestra máquina con Snorby o mediante VMware Player, en mi caso con este ultimo.Lo primero que nos aparece es una ventana indicando que no tenemos configurada lared. Le damos a ok y nos aparece otra ventana con dos opciones: * DHCP * StaticIPEn mi caso uso la configuración para IP estática y manual, le damos a select con la opción seleccionada e introducimos los datos y apply. Nos apareceré la pantalla anterior y varias opciones. En mi caso lo dejo como está y le doy a Back.Se nos informa de las formas de acceso a Snorby: por http para la interface oSSH/SFTP.Ya tenemos la información y si podemos dar a Quit. Listo.Ahora podemos acceder a la interface desde un navegador y desde cualquier máquina de nuestra red desde https://192.168.1.69:8080/, introducir el usuario y pass Snorby / admin y ya estamos dentro, pero aún nos queda, para que funcione, algunos retoques más.Por ejemplo, no tenemos configurado Snort, las reglas etc, para ello:nano/etc/snort/snort.confCambiamos lo que sea necesario según nuestras necesidades, activar las reglas que queramos, variables, etc. * Sistemas de Detección de intrusos y Snort. (I) * Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (I). * Sistemas de Detección de intrusos y Snort. (II). Creación de Reglas (II). Opciones de las reglas. * Oinkmaster. Actualizando las reglasSnort. * Snortuna vez realizado esto:Guardamos con F2, Yes y Enter.Iniciamos el servicio snort:/etc/init.d/snort startCualquier cambio en snort.conf debe ir precedido de un reinicio del servicio, antes un stop, etc:/etc/init.d/snort restart / stop / startBien, con esto, tenemos configurado de forma básica Snort. Ahora vamos a ejecutarlo de la forma:snort -D -i eth0 -u snorby -c /etc/snort/snort.confDesde el navegador introducimos la dirección donde se encuentra nuestro snorby: https://192.168.1.69:8080/ e introducimos el Login Snorby y el Password admin, hacemos login y entramos en el Dashboard.Si hay algún problema, modemos hacer una serie de comprobaciones. Para ello introducimos la linea de snort siguiente:snort -i eth0 -u snorby -c /etc/snort/snort.conf (sin -D)Con lo que snort nos...
Leer documento completo
Regístrate para leer el documento completo.