La interfaz que se suele instalar en Snort suele ser BASE, esta interfaz es bastante simple y poco visual ademas de que se ha quedado des-actualizada. Pero hay mas interfaces que se pueden utilizar. En este caso se instalará una llamada Snorby, esta interfaz es muy visual, fácil de gestionar e incluso tiene app para dispositivos iOS.

Para empezar hay que tener Snort instalado. Si no está instalado post aquí.

Nota: Esta instalación está basada en el post realizado anteriormente.

Instalación

Instalar todas las dependencias necesarias

 apt install git curl libmysqlclient-dev libmysql++-dev imagemagick libmagickwand-dev wkhtmltopdf gcc g++ build-essential linux-headers-amd64 libssl-dev libreadline-gplv2-dev zlib1g-dev libsqlite3-dev libxslt1-dev libxml2-dev

Instalar Ruby

cd /tmp/ && curl -#LO https://rvm.io/mpapis.asc && gpg --import mpapis.asc

cd /usr/src/ && curl -sSL https://get.rvm.io | bash -s stable --quiet-curl --ruby=1.9.3

Descargar Snorby

cd /opt/ && git clone http://github.com/Snorby/snorby.git && cd snorby

Configurar snorby

cp /opt/snorby/config/database.yml.example /var/www/snorby/config/database.yml

vim /opt/snorby/config/database.yml

 snorby: &snorby
 adapter: mysql
 username: root
 password: <password>
 host: localhost

cp /opt/snorby/config/snorby_config.yml.example /opt/snorby/config/snorby_config.yml

sed -i s/"/usr/local/bin/wkhtmltopdf"/"/usr/bin/wkhtmltopdf"/g /opt/snorby/config/snorby_config.yml

Instalar Snorby

cd /opt/snorby/

bundle install --deployment

bundle exec rake snorby:setup

bundle exec rails server -e production

Configurar barnyard2 para que guarde los datos de snort en la base de datos de snorby

vim /usr/local/etc/snort/barnyard2.conf

Sustituir la última línea que hemos creado en la instalación de snort

output database: log, mysql, user=root password=<password> dbname=snorby host=localhost

Para acceder a snorby por navegador

https://<IP>:3000

Default user : snorby@example.com
Default pass: snorby