Instalação do Snort + BASE no Debian Etch pelos fontes

Este tutorial visa auxiliar as pessoas interessadas em instalar o NIDS Snort com suporte a gravação em banco de dados MySQL e ainda a instalação e configuração do Apache2 com BASE para análise dos dados coletados com GNU/Linux Debian 4.0 Etch.

[ Hits: 62.334 ]

Por: Tiago Bizerra de Lima em 15/05/2008 | Blog: http://tiagolima.wordpress.com


Libcap e Snort



Instalação libcap:

A libcap é componente essencial para o snort. Por questões de desempenho e segurança é interessante compilá-lo, pois qualquer vulnerabilidade encontrada pode ser atualizada de maneira fácil, baixando o fonte da nova versão e compilando, sem esperar pelo pacote da distro, por exemplo.

Por outro lado, o Debian, por exemplo, tem um foco em segurança onde às correções surgem rapidamente e o apt é uma ótima ferramenta . Então, como tudo no software livre, você decide! :)

Instale o pacote flex:

# apt-get install flex

Descompacte:

# tar zxvf libpcap-0.9.7.tar.gz

Configure:

# ./configure

Compile e instale:

# make && make install
(o '&&' no comando diz que o segundo comando só será executado se o primeiro não retornar com erro)

Instalação Snort2:

Vamos ao de sempre :)

Descompacte e acesse a pasta:

# tar -zxvf snort-2.7.0.1.tar.gz

Configure o Snort para compilação, onde neste caso compilaremos com suporte ao MySQL que configuramos anteriormente:

# ./configure --with-mysql=/usr/local

Compile e instale:

# make && make install

Crie o diretório de configuração do Snort:

# mkdir /etc/snort

O mesmo para logs:

# mkdir /var/log/snort

Crie o usuário snort:

# adduser snort

Configure as devidas permissões:

# chown snort:snort /var/log/snort

Descompacte as regras baixadas anteriormente:

# tar -zxvf /usr/local/src/snortrules-snapshot-CURRENT.tar.gz

Vamos às regras do snort:

# cd /etc/snort

Copie as regras para o diretório de configuração:

# cp /usr/local/src/snort-2.7.0.1/etc/*.conf* . && cp /usr/local/src/snort-2.7.0.1/etc/*.map .

Edite o arquivo snort.conf: Lembrando que esta configuração é básica para iniciar o Snort. Cada um deve configurar conforme sua necessidade. Os arquivos de configuração são bem comentados para você se orientar. Sugerimos uma boa lida neles:

# vi /etc/snort/snort.conf

Basicamente, altere as seguintes variáveis:

var RULE_PATH /etc/snort/rules
var HOME_NET "rede/máscara"
var EXTERNAL_NET !$HOME_NET

Antes de iniciar o snort, dê uma olhada também no arquivo local.rules:

# vi /etc/snort/rules/local.rules

Iniciando snort:

# /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf &

Verifique se o processo do snort continua rodando e monitore o syslog, pois as mensagens de sucesso ou erro aparecerão nele.

Você pode utilizar também snort -v para ver na tela como o snort trabalha. Neste primeiro momento estamos utilizando o snort para saída padrão em logs do sistema. O ambiente MySQL preparado anteriormente será finalizado juntamente com a instalação do BASE.

Criando base de dados Snort:

Conecte-se ao banco:

# mysql -u root -p (lembre-se da senha de root do banco, definida anteriormente)

Crie uma base:

mysql> create database snort;

Configure as permissões e crie o usuário snort para o mysql:

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;

Defina a senha do usuário snort:

mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senha');

Na pasta 'schemas', no código fonte do Snort existem scripts para criação da base em alguns SGBDs.

Acesse a pasta:

# cd /usr/local/src/snort-2.7.0.1/schemas

Jogue o sql no banco mysql:

# mysql -u root -p < create_mysql snort

Para testar, acesse a base e suas tabelas, conectando-se ao mysql:

mysql> use snort;
mysql> show tables;

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Preparando o sistema
   3. Instalação MySQL
   4. Libcap e Snort
   5. Apache + PHP
   6. Snort c/ MySQL + BASE
   7. Considerações finais e comunidade Snort-br
Outros artigos deste autor

Treze razões pelas quais uma rede wireless é lenta

Leitura recomendada

PortSentry: Melhorando a segurança do seu Linux

Metasploit Adobe Exploit

Configuração de um servidor com clamav

Monitorando máquinas Windows com o Nagios

Metaspoit: Brute force + invasão com meterpreter encriptado com RC4

  
Comentários
[1] Comentário enviado por lipecys em 15/05/2008 - 13:58h

Muito bom o Artigo, meus parabéns.

[2] Comentário enviado por gleybsonfrm em 28/07/2009 - 11:33h

Onde encontro o php-5.2.3 para baixar?
poderia colocar o wget ?

[3] Comentário enviado por mayconplanet em 10/12/2010 - 12:30h

Cara valeu mesmo pelo tutorial... nota 10


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts