Seguridad · 3 min read · Oct 17, 2025

Detección de Intrusiones: Snort (IDS), OSSEC (HbIDS) y Prelude (HIDS) en Ubuntu Gutsy Gibbon - Página 2

Instalar Prewikka

Prewikka es la interfaz gráfica para Prelude, utilizando un servidor web.

Instalación

Prewikka requiere dos bases de datos: una para obtener las alertas de Prelude (que es la misma que se configuró antes), y una para almacenar sus propios datos (prewikka). De hecho, los paquetes de Ubuntu solo crean la base de datos prewikka, y no configuran el acceso a las alertas de Prelude, por lo que la instalación de alertas debe hacerse manualmente.

Instalar Prewikka

apt-get install prewikka

El paquete instalará las dependencias requeridas (python, por ejemplo), y pedirá la configuración de la base de datos. En cuanto a Prelude, elegimos usar dbconfig-common, damos la contraseña de administrador y presionamos enter para que dbconfig-common genere una para nosotros.

Configurar Acceso a Prelude-Manager

Obtén la contraseña del archivo de configuración de prelude-manager /etc/prelude-manager/prelude-manager.conf y edita el archivo de configuración de prewikka /etc/prewikka/prewikka.conf:

vi /etc/prewikka/prewikka.conf
[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

La sección [database] se configura automáticamente por dbconfig-common, así que no la modifiques.

Configuración del Servidor Web:

La configuración se explica en el archivo /usr/share/doc/prewikka/README.Debian. Puedes elegir entre 3 configuraciones:

  • Configuración de Apache / CGI con VirtualHost
  • Configuración de Apache / mod_python con VirtualHost
  • Prewikka desde la herramienta de línea de comandos

Como ejemplo, usaré la configuración mod_python.

apt-get install libapache2-mod-python

Agrega un VirtualServer a tu configuración de apache con el siguiente contenido:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs

Reinicia tu servidor web apache y podrás iniciar sesión en la interfaz de prewikka.

Nota: por supuesto, siempre puedes usar una configuración para apache como:

NameVirtualHost xxx.xxx.xxx.xxx:80

Esto es útil cuando tienes otros servicios ejecutándose en tu servidor apache.

Parte 2: Instalación y Configuración de Snort

No escribiré el manual completo para esto ya que hay un hwto para snort: Detección de Intrusiones: Snort, Base, MySQL y Apache2 en Ubuntu 7.10 (Gutsy Gibbon) (Actualizado).

Describiré aquí los pasos necesarios para que snort registre en prelude. En esta configuración tampoco necesitas instalar una base de datos mysql y la interfaz web base ya que snort registrará en prelude y puedes usar la interfaz prewikka para ver las alertas de snort.

Sigue todos los pasos descritos en el manual anterior y reemplaza la entrada a continuación con la nueva:

Reemplazar

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Con

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

En lugar de hacer:

Desplázate hacia abajo en la lista hasta la sección con “ # output database: log, mysql, user= “, quita el “ # “ de delante de esta línea.
Cambia el “ user=root “ a “ user=snort “, cambia el “ password=password “ a “ password=snort_password “, “ dbname=snort
Toma nota del nombre de usuario, contraseña y dbname. Necesitarás esta información cuando configuremos la base de datos Mysql.
Guarda y sal.

Haz:

Desplázate hacia abajo en la lista hasta la sección con “# output alert_prelude: profile=snort “, quita el “#” de delante de esta línea y eso es todo.

Desde el paso 5 en adelante ( 5. Configurar la base de datos Mysql.) todo se puede omitir.

Ahora tenemos que registrar el agente snort en el prelude manager:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

En el servidor prelude manager:

prelude-adduser registration-server prelude-manager

Esto registrará el agente snort en el prelude manager, como hiciste arriba para el prelude-lml.

Una vez que el proceso de registro esté completo, ejecuta:

snort -c /etc/snort/snort.conf

Si todo va bien, verás:

Inicializando Interfaz de Red eth0
Decodificando Ethernet en la interfaz eth0

  • Conectando a 127.0.0.1:4690 servidor de Prelude Manager.
  • La autenticación TLS fue exitosa con Prelude Manager.

La entrada eth0 depende del adaptador ethernet que especificaste. Lo importante es que veas que snort se está conectando al servidor de prelude manager y la autenticación tls fue exitosa.

Si el agente se está conectando, y ves snort en la lista de agentes de prewikka, entonces puedes detener el proceso con ctrl-c y emitir:

snort -c /snort/snort.conf -D

para iniciar snort como un daemon. En la línea anterior siempre puedes agregar -i ethX si no estás escuchando en todas las interfaces de red y deseas especificar una interfaz específica.

Share: X/Twitter LinkedIn
#Seguridad

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.