Smooth-Sec. Instalación sencilla de un detector de intrusos
De la mano del señor Phillip Baley, creador del proyecto, nos llega Smooth-Sec. Esta distribución de Linux, que viene con Suricata y Snorby integrados de serie y está basada en Ubuntu 10.04 LTS, nos proporciona un sistema robusto de IDS/IPS con el que controlar las actividades sospechosas de nuestra red.
Una de las principales ventajas de usar Smooth-Sec, es el ahorro de costes de implementación al poder realizar un despliegue sin necesidad de realizar las tareas de instalación del sistema operativo, securización del mismo e instalación y configuración del software IDS/IPS.
Sobre el sistema de IDS/IPS que soporta, Suricata, poco más hay que escribir que no se sepa. Suricata es el potente motor de «The Open Information Security», que se ha ido haciendo un sitio entre los grandes de la detección de intrusos, experimentando un fuerte ascenso desde el cambio de licencia de SNORT hace unos años.
Compatible con las reglas de este último y con los Emerging Threaths, cuenta con detector automático de protocolos, estadísticas de rendimiento que permiten ajustar su configuración, proceso Multi-Threaded (vital en un IDS/IPS) y un módulo específico de registro para HTTP (incluyendo un descompresor gzip).
Por su parte, Snorby es un interface web para la monitorización y gestión de Suricata que facilita la cuantificación de las alertas emitidas por el IDS/IPS contanto con un sencillo cuadro resumen a través del cual podremos tener una visión del estado de las alertas a alto nivel e ir descendiendo hasta el detalle de las alertas.
Aunque el sistema viene preparado para VMWare, yo lo he instalado en VirtualBox y funciona perfectamente.
Más información:
Prueba el interfaz de Snorby:
- http://demo.snorby.org/
- Usuario: demo@snorby.org
- Password: snorby
Saludos,