310 palabras
2 minutos
Envío de alertas de Snort utilizando postfix
2022-10-14
Documentación
correo
/
snort

En esta entrada vamos a configurar un servidor de correos postfix para poder monitorizar las alertas que da snort de manera remota. Para ello vamos a utilizar el servidor por medio del comando swatch, que se encargará de comprobar el log de snort.

Postfix#

Instalación#

Antes de iniciar la instalación tenemos que comprobar el nombre de nuestra máquina, con el comando

hostname

Para instalar postfix previamente tenemos que instalar mailutils:

sudo apt update
sudo apt install mailutils
sudo apt install postfix

Tras la instalación de postfix, Se inciará un setup. En él seleccionamos Internet site, la opción por defecto. En el siguiente paso, si no está ya, introducimos el nombre de la máquina que consultamos antes.

Configuración#

Una vez instalado, tenemos que editar varias líneas en el fichero de configuración: /etc/postfix/main.cf; tenemos que cambiar las siguientes líneas:

inet_interfaces = loopback-only
mydestination = $myhostname, localhost.$your_domain, $your_domain

Tras eso reiniciamos el servicio

sudo systemctl restart postfix

Con la configuración actual, no podemos enviar correos a una dirección de correo habitual (gmail, hotmail..) ya que nuestro servidor postfix no tiene autentificación SASL ni encriptación SLS, por lo que los proveedores de correo lo rechazan automáticamente.

Para comprobar que funciona podemos enviar un correo de prueba. Para el ejemplo, vamos a enviarlo a un correo temporal como este, ya que no realiza las mismas comprobaciones que gmail.

Enviamos el correo con el siguiente comando:

echo "Cuerpo del mensaje" | mail -s "Asunto del mensaje" correoelectronico

muestra correo temporal

Para más información: instalación postfix, SASL y SLS

Alertas snort#

Para que se envien correos al recibir alertas necesitamos el paquete swatchdog. Tras la instalación, en el fichero .swatchdogrc del directorio personal tiene que haber el siguiente contenido:

watchfor /Priority: 0/ exec echo “Mira el log de snort” | mail -s “ALERTA DE SNORT” correoelectronico, throttle 1:00

y lo ejecutamos:

swatchdog  -t /var/log/snort/alert

Para que Snort Genere las alertas en el fichero alert se ejecuta con el siguiente comando:

snort -A full -q -u snort -g snort -c /etc/snort/snort.conf -i eth1
Envío de alertas de Snort utilizando postfix
https://www.robertops.com/posts/2022-10-14_snort/correo_alertas/
Autor
Roberto Rodríguez
Publicado el
2022-10-14
Compilación de un programa en C utilizando un Makefile
Snort: Instalación y primeros pasos
© 2024 Roberto Rodríguez. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari