OpenBSD IDS - Solução Snort e BASE
Por ser um sistema robusto, creio que seja o mais indicado para a implementação de um IDS em sua rede para que possa prover mais segurança e até se sentir mais seguro e detectar aquele mal elemento fazendo graça ou tentando fazer graça antes que consiga. Usaremos o Snort juntamente com o MySQL.
Parte 3: Snort - Instalação e configuração
Já o Snort vamos instalar via ports, simples e não muito rápido:
# cd /usr/ports/net/snort
# env FLAVOR="mysql flexresp" make install
Agora pode sentar e esperar, porque vai tempo. Depois de instalado, acesse o site www.snort.org e se cadastre no site e baixe esse arquivo.
### Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release) ###
Que é o arquivo de regras mais atual pra quem é registrado no site, quem tiver $$ e quiser gastar com isso pode estar pagando uma pequena quantia para obter regras mais novas.
Enquanto escrevo esse artigo o arquivo mais atual é o:
http://www.snort.org/pub-bin/.../snortrules-snapshot-CURRENT.tar.gz
RELEASED: 2007-12-17
Depois que terminar o download descompacte pra dentro de /etc/snort.
# tar zxvf snortrules-snapshot-CURRENT.tar.gz -C /etc/snort
Agora crie o diretório dos logs:
# mkdir /var/log/snort
# chown -R _snort._snort /var/log/snort
Vamos configurar sua inicialização automática.
Edite o arquivo rc.conf e adicione a linha:
E depois no arquivo /etc/rc.local as seguintes linhas:
Agora vamos ao PHP. Mais pra frente vamos terminar a configuração. Primeiro vamos terminar de instalar os software necessários.
# cd /usr/ports/net/snort
# env FLAVOR="mysql flexresp" make install
Agora pode sentar e esperar, porque vai tempo. Depois de instalado, acesse o site www.snort.org e se cadastre no site e baixe esse arquivo.
### Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release) ###
Que é o arquivo de regras mais atual pra quem é registrado no site, quem tiver $$ e quiser gastar com isso pode estar pagando uma pequena quantia para obter regras mais novas.
Enquanto escrevo esse artigo o arquivo mais atual é o:
http://www.snort.org/pub-bin/.../snortrules-snapshot-CURRENT.tar.gz
RELEASED: 2007-12-17
Depois que terminar o download descompacte pra dentro de /etc/snort.
# tar zxvf snortrules-snapshot-CURRENT.tar.gz -C /etc/snort
Agora crie o diretório dos logs:
# mkdir /var/log/snort
# chown -R _snort._snort /var/log/snort
Vamos configurar sua inicialização automática.
Edite o arquivo rc.conf e adicione a linha:
snort=YES
E depois no arquivo /etc/rc.local as seguintes linhas:
if [ X"${snort}" == X"YES" -a -x /usr/local/bin/snort ]; then
echo -n " snort"; /usr/local/bin/snort -D -d -c /etc/snort/snort.conf -u _snort -g _snort
fi
echo -n " snort"; /usr/local/bin/snort -D -d -c /etc/snort/snort.conf -u _snort -g _snort
fi
Agora vamos ao PHP. Mais pra frente vamos terminar a configuração. Primeiro vamos terminar de instalar os software necessários.
soh falto o Proxy e o firewall no caso o packet filter
o PF tem opção para enganar fingerprint aqueles ataques
com nmap ou o probe... para descobrir o OS vide
#cat /etc/pf.os
acho interessante este e outros truques ...(até parece um honeypot)
Parabens pelo artigo