Pessoal, aqui aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian. Mas antes de colocar a mão na massa, vamos ver o que é esse tal de Snort e para que serve.

O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.

O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.

O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:

• Falso-negativo → É quando um pacote passa sem ser notificado pelo IDS , o IDS pensa que o pacote é fluxo normal. Em minha opinião, pior que os falsos-positivos.
• Falso-positivo → É quando o pacote é notificado como intrusivo, mas na verdade, é somente um falso alerta, alarme falso. O grande problema de muito falso positivo é a ferramenta perder a credibilidade, é a velha história do alarme do carro que dispara muito, e quando realmente for um furto, você não vai acreditar que estão levando seu carro.

Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)

Bem, vamos ao que interessa. Mão na massa!

MySQL

Primeiramente, iremos instalar e configurar nosso banco de dados MySQL:

# aptitude install mysql-server

Depois de instalar, iremos criar o usuário "snort":

# mysql -u root -p

Entre com a senha de root que você forneceu durante a instalação.

mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;

Agora entre no MySQL usando o usuário que acabamos de criar:

# mysql -u snort -p

Informe a senha que utilizou para criar o usuário. Verifique as bases:

mysql> show databases;

Crie a base Snort no banco:

mysql> create database snort;

Saia:

mysql> quit