Automatizando Firewall com IDS Snort e SnortSam
Snort é um sistema de detecção de intrusos (IDS), o qual usa seus sensores e um conjunto de regras para monitorar todo o tráfego da rede e gerar alertas de possíveis ameaças à segurança de seus sistemas. Com a ajuda do plugin SnortSam, será possível automatizar bloqueios de endereços IP em seu firewall.
[ Hits: 42.710 ]
Por: Vinicius Raupp Alves em 23/01/2013
Instalação do MySQL e BASE
Instalação do MySQL:
# apt-get install mysql-server -y
O instalador irá pedir uma senha de acesso root ao MySQL (coloque a senha que preferir). Acesse o console de administração do MySQL e coloque a senha criada na hora da instalação:
# mysql -u root -p
Use os comandos abaixo para criar a base de dados e usuário para o Snort:
mysql> create database snort;
mysql> grant all on snort.* to snort@localhost identified by 'senha-snort';
mysql> flush privileges;
mysql> exit;
Crie as tabelas importando o arquivo "create_mysql" encontrado dentro do código fonte do Snort:
# cd src-pacote-snort/schema
# mysql -u root -p snort < create_mysql
Instalar o BASE:
# apt-get install acidbase -y
O instalador irá perguntar qual senha será usada para acessar a base de dados snort no MySQL, digite "senha-snort", confirme a senha digitando-a novamente.
Acrescente o acidbase no Apache:
# nano /etc/apache2/sites-enabled/000-default
Posicione o cursor antes da tag </VirtualHost>, aperte Ctrl+R e insira o caminho /etc/acidbase/apache.conf.
Permita o acesso via rede local alterando a linha:
allow from 127.0.0.0/255.0.0.0
Para:
Reinicie o serviço apache2:
# invoke-rc.d apache2 restart
Acesse a página do acidbase via rede local: http://192.168.1.1/acidbase
Para completar a instalação, surgirá uma página com um erro, mas é normal. Clique em Setup Page e depois em Create_ACID_AG. Após feita a instalação com sucesso, acesse novamente o endereço da página do acidbase.
# apt-get install mysql-server -y
O instalador irá pedir uma senha de acesso root ao MySQL (coloque a senha que preferir). Acesse o console de administração do MySQL e coloque a senha criada na hora da instalação:
# mysql -u root -p
Use os comandos abaixo para criar a base de dados e usuário para o Snort:
mysql> create database snort;
mysql> grant all on snort.* to snort@localhost identified by 'senha-snort';
mysql> flush privileges;
mysql> exit;
Crie as tabelas importando o arquivo "create_mysql" encontrado dentro do código fonte do Snort:
# cd src-pacote-snort/schema
# mysql -u root -p snort < create_mysql
Instalar o BASE:
# apt-get install acidbase -y
O instalador irá perguntar qual senha será usada para acessar a base de dados snort no MySQL, digite "senha-snort", confirme a senha digitando-a novamente.
Acrescente o acidbase no Apache:
# nano /etc/apache2/sites-enabled/000-default
Posicione o cursor antes da tag </VirtualHost>, aperte Ctrl+R e insira o caminho /etc/acidbase/apache.conf.
Permita o acesso via rede local alterando a linha:
allow from 127.0.0.0/255.0.0.0
Para:
allow from 192.168.1.0/255.255.255.0
Reinicie o serviço apache2:
# invoke-rc.d apache2 restart
Acesse a página do acidbase via rede local: http://192.168.1.1/acidbase
Para completar a instalação, surgirá uma página com um erro, mas é normal. Clique em Setup Page e depois em Create_ACID_AG. Após feita a instalação com sucesso, acesse novamente o endereço da página do acidbase.
Páginas do artigo
1. Introdução2. Instalação do Snort
3. Instalação do MySQL e BASE
4. Instalação do serviço SnortSam
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Mandrake Firewall - Firewall com interface amigável
Firewall invisível com Proxy ARP
OpenVPN - Instalação e configuração
Incrementando seu Firewall com o Layer 7 Filter
Desvendando as regras de Firewall Linux Iptables
Comentários
[1] Comentário enviado por danniel-lara em 23/01/2013 - 14:39h
Parabéns pelo Artigo , muito bom mesmo
Parabéns pelo Artigo , muito bom mesmo
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
[3] Comentário enviado por viniciusraupp em 28/01/2013 - 16:23h
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h:
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
Nunca configurei desta maneira mas acredito que funcione, se for testar deixe aqui o resultado pra nós. Valew
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h:
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
Nunca configurei desta maneira mas acredito que funcione, se for testar deixe aqui o resultado pra nós. Valew
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
[5] Comentário enviado por viniciusraupp em 11/02/2013 - 15:25h
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h:
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Olá, me mande a regra que você esta acrescentando o fwsam.
Se você subir o snort sem nenhuma regra, ele sobe normalmente ?
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h:
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Olá, me mande a regra que você esta acrescentando o fwsam.
Se você subir o snort sem nenhuma regra, ele sobe normalmente ?
[6] Comentário enviado por phoemur em 11/02/2013 - 15:43h
Cara, já descobri o erro, o patch do snortsam que usei era de uma versão diferente do snort que estava instalado na minha máquina.
Vou recompilar com a versão correta e ver se funciona.
Obrigado pela atenção.
Cara, já descobri o erro, o patch do snortsam que usei era de uma versão diferente do snort que estava instalado na minha máquina.
Vou recompilar com a versão correta e ver se funciona.
Obrigado pela atenção.
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
[8] Comentário enviado por viniciusraupp em 11/04/2013 - 23:58h
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h:
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Você usou o patch com a mesma versão do source do snort ?
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h:
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Você usou o patch com a mesma versão do source do snort ?
[9] Comentário enviado por jtdest em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
[10] Comentário enviado por viniciusraupp em 15/04/2015 - 19:29h
[9] Comentário enviado por marxbrito em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
Buenas, não tem usar o snortsam junto com o pacote snort pré-compilado, foi este motivo que me levou a criar este artigo.
[9] Comentário enviado por marxbrito em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
Buenas, não tem usar o snortsam junto com o pacote snort pré-compilado, foi este motivo que me levou a criar este artigo.
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
[12] Comentário enviado por viniciusraupp em 02/07/2015 - 13:36h
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
Olá, desculpe mas desconheço o funcionamento do ips guardian.
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
Olá, desculpe mas desconheço o funcionamento do ips guardian.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
É cada coisa que me aparece! - não é só 3% (3)
Melhorando a precisão de valores flutuantes em python[AJUDA] (5)
Top 10 do mês
-
Xerxes
1° lugar - 66.622 pts -
Fábio Berbert de Paula
2° lugar - 50.443 pts -
Buckminster
3° lugar - 17.938 pts -
Mauricio Ferrari
4° lugar - 15.644 pts -
Alberto Federman Neto.
5° lugar - 14.558 pts -
Diego Mendes Rodrigues
6° lugar - 13.244 pts -
Daniel Lara Souza
7° lugar - 12.782 pts -
edps
8° lugar - 11.342 pts -
Andre (pinduvoz)
9° lugar - 10.983 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.999 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
