Debian Sarge + Snort + MySQL + Acidlab + Apache

B3n0ne

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.

[ Hits: 74.536 ]

Por: Benone Bitencourt em 30/05/2006 | Blog: http://www.benone.com.br

0 0

Denuncie Favoritos Indicar Impressora

Configuração do ACIDLAB no APACHE

Instalando e configurando o ACIDLAB

# apt-get install acidlab acidlab-doc acidlab-mysql libphp-adodb libphp-phplot wwwconfig-common

OBS: Instalando o acilab-mysql e o acidlab-doc, o apt instala os demais como dependências.

Agora, vamos configurar o ACIDLAB. Primeiro, vamos criar um arquivo para declarar o site para o ACIDLAB no APACHE2:

# cd /etc/apache2/sites-avaliable
# touch acidlab

Agora vamos aproveitar a declaração pronta do acidalab para publicar o site no Apache2:

# vi acidlab

No vi, em modo comando (sem dar insert) digite ":r /etc/acidlab/apache.conf".

Veja que ele carrega os módulos de php3 e php4 sendo que temos que carregar individualmente, pois retiramos anteriormente da configuração geral.

Digite fora do insert :x ou :wq que o VI grava e sai.

Publicamos o novo site.

# a2ensite acidlab

Restartamos o Apache:

# /etc/init.d/./apache2 restart

Agora vamos configurar o ACIDLAB:

# vi /etc/acidlab/acid_conf.php

No VI, digite :32 você vai direto para a linha 32 onde começamos a alterar o seguinte trecho:

$alert_dbname   = "snort_log";
$alert_host     = "localhost";
$alert_port     = "";
$alert_user     = "root";
$alert_password = "mypassword";

/* Archive DB connection parameters */
$archive_dbname   = "snort_archive";
$archive_host     = "localhost";
$archive_port     = "";
$archive_user     = "root";
$archive_password = "mypassword";

Para:

$alert_dbname   = "snort ";
$alert_host     = "localhost";
$alert_port     = "";
$alert_user     = "acid";
$alert_password = "senha_do_acid";

/* Archive DB connection parameters */
$archive_dbname   = "snort ";
$archive_host     = "localhost";
$archive_port     = "";
$archive_user     = "snort";
$archive_password = "senha_do_snort";

Pronto, acesse http://localhost/acidlab utilizando algum browser (navegador). Vai parecer um erro, mas é normal na primeira vez a página que aparece, clique no link setup page que se encontra no texto da página.Depois no botão Create_ACID_AG.

E finalmente em home agora basta aguardar que começa a logar com o tempo e aparecer aí pode demorar algum tempo se sua rede tem pouco tráfego, o que você pode fazer é descomentar as rules que comentei anteriormente que causam fake positive para ver atividade no acidlab atualizando a página após reiniciar o snort:

# /etc/init.d/./snort restart

Depois comente as regras novamente e reinicie o snort novamente, pois não queremos falsos positivos.

Bom, era isso, estava devendo isso para vários alunos e se alguém da comunidade open aproveitar melhor ainda. Open source na veia! E espero que tenham gostado, poderia ter ficado melhor, mas "A preguiça é inimiga da perfeição".

Qualquer coisa entrem em contato.

Benone "E1 To5c0" Bitencourt

Página anterior

Páginas do artigo

   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Prevenção e rastreamento de um ataque

Introdução ao Anonimato na Web - Web Anonimity

SmoothWall - Linux para gateway

ANDRAX - Pentest usando o Android

Ferramentas de administração remota

Comentários

[1] Comentário enviado por leoberbert em 30/05/2006 - 14:13h

Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!

0 0

[2] Comentário enviado por dcyrillo em 19/07/2006 - 10:59h

Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?

0 0

[3] Comentário enviado por B3n0ne em 16/08/2006 - 13:04h

faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe

0 0

[4] Comentário enviado por fontebon em 07/01/2007 - 04:17h

Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao

0 0

[5] Comentário enviado por duraes em 01/03/2007 - 17:20h

Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita

0 0

[6] Comentário enviado por b3n0ne em 05/04/2007 - 14:25h

Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...

0 0

[7] Comentário enviado por epgielow em 18/10/2007 - 14:50h

se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!

0 0

[8] Comentário enviado por celsopimentel em 06/11/2007 - 17:49h

Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!

0 0