Snort + MySQL + Guardian - Instalação e configuração
Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.
[ Hits: 45.926 ]
Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com
Snort
# aptitude install snort-mysql
Durante a instalação, informe a faixa de rede e a máscara que sua rede usa. Depois você será questionado se deseja que seja criado uma base de dados para gravar os logs, selecione "Sim" e depois dê OK.
Agora acesse o diretório da documentação do Snort que contém as tabelas:
# cd /usr/share/doc/snort-mysql
Use o arquivo "create_mysql" para criar as tabelas na base Snort do banco:
# zcat create_mysql.gz | mysql -u snort -h localhost -p snort
Informe a senha do usuário "snort". Depois acesse a base Snort do banco e verifique se as tabelas foram criadas com sucesso:
# mysql -u snort -p
(Entre com a senha do usuário snort)
mysql> show databases;
mysql> use snort;
mysql> show tables;
mysql> status;
mysql> quit;
Vá ate o diretório onde estão os arquivos de configuração do Snort:
# cd /etc/snort
Renomeie o arquivo "snort.conf":
# mv snort.conf snort.conf.orig
Crie uma cópia do arquivo que acabamos de renomear sem os comentários, para o arquivo ficar menor e mais legível:
# cat snort.conf.orig | grep -v ^# | grep . > snort.conf
Agora vamos editar o arquivo "snort.conf":
# pico snort.conf
Na primeira linha (var HOME_NET any) remova o "any" e digite a faixa de rede/máscara:
Agora, quase no final do arquivo, abaixo da linha (output log_tcpdump: tcpdump.log), digite o seguinte:
output alert_full: /var/log/snort/alert
Entendendo: Na primeira linha informamos o nome de usuário da banco, a senha, o nome da base e o host do banco. No exemplo estou usando localhost, mas é muito importante você colocar o banco de dados em outro servidor. Já na segunda linha, informamos o Snort para gerar os logs no arquivo alert.
Agora vá até o arquivo "snort.debian.conf" e dê uma olhada na linha (DEBIAN_SNORT_INTERFACE="eth0"), mude-a caso deseje que o Snort escute em outra interface.
Remova o arquivo de pendência de configuração do banco de dados:
# rm db-pending-config
Entre no arquivo /etc/snort/database.conf e comente a seguinte linha:
Depois disso, pode iniciar o Snort:
# /etc/init.d/snort start
Faça um teste, fique monitorando o arquivo de log do Snort:
# tail -f /var/log/snort/alert
E em outra máquina, use o Nmap para escanear o host do Snort:
# nmap -sX 192.168.0.1
Obs.: Esse é o IP do Snort no meu laboratório.
Fique acompanhando o arquivo "alert" e veja o que acontece.
Pronto. Até aqui já temos o Snort pronto para gerar os alertas e gravar no banco de dados, mas ele ainda não é capaz de bloquear nada, pois não está com o IPS Guardian. Vamos fazer isso agora.
2. Snort
3. Guardian
Entendendo o ataque ARP spoofing + SSLStrip
storage FreeNas 9.2.1.6 - Instalação e configuração
Instalando FreeNAS 8.3.0 e criando Storage iSCSI
Descobrir a senha de configuração pelo browser de um Access Point (AP)
Usando e instalando o Nessus no Linux
Instalar certificado SSL/TLS digital válido gratuito no Linux
Gateway autenticado com Apache, Iptables e CGI em shell
Netcat - O canivete suíco do TCP/IP
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
Patrocínio
Destaques
Links importantes de usuários do VOL (3)
Atenção a quem posta conteúdo de dicas, scripts e tal (2)
Artigos
Crie alias para as tarefas que possuam longas linhas de comando - bash e zsh
Criando um gateway de internet com o Debian
Configuração básica do Conky para mostrar informações sobre a sua máquina no Desktop
Aprenda a criar músicas com Inteligência Artificial usando Suno AI
Entendendo o que é URI, URL, URN e conhecendo as diferenças entre POST e GET
Dicas
Criando um Pen Drive Bootável no Linux
Instalando Discord no Fedora 40
Instalando Discord no Ubuntu 24.04 LTS
Como instalar o XFCE4-terminal na sua distribuição Linux e integrá-lo ao sistema
Como instalar o Tilix Terminal no Gnome e usá-lo como menu drop-down ao estilo Quake
Tópicos
Acesso negado ao tentar conectar na VPS usando s (0)
Não existe o slackbuild do bash no repositório slackbuild? (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.809 pts -
Fábio Berbert de Paula
2° lugar - 61.386 pts -
Clodoaldo Santos
3° lugar - 49.801 pts -
Sidnei Serra
4° lugar - 34.148 pts -
Buckminster
5° lugar - 23.182 pts -
Alberto Federman Neto.
6° lugar - 17.519 pts -
Mauricio Ferrari
7° lugar - 16.555 pts -
Daniel Lara Souza
8° lugar - 16.445 pts -
Diego Mendes Rodrigues
9° lugar - 14.842 pts -
edps
10° lugar - 14.663 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
