YASG (Yet Another Security Guide)
Com a crescente onda de ataques a hosts, ferramentas de análise, bloqueio e auto-defesa são simplesmente indispensáveis. Este artigo detalha, na medida do possível, assuntos relacionados a políticas básicas de segurança, Iptables, Snort, Guardian e Acid, todos com pacotes atualizados.
Parte 6: Compilando e configurando o Snort
Baixe o source do Snort aqui.
Descompacte-o com:
# tar xzvf snort-2.6.1.1.tar.gz
Entre na pasta que será criada com os arquivos e então compile com:
# ./configure --with-mysql
# make && make install
Agora vamos criar um diretório para depositarmos as regras de análise do tráfego da rede, e demais arquivos de configuração. Ainda dentro do diretório do source do Snort, digite:
# mkdir /etc/snort
# cp etc/* /etc/snort/
Prontinho.
Iremos configurar agora o banco de dados aonde o Snort irá salvar os logs:
# mysql -u root -p
(Você cairá no console de acesso do MySQL)
Digite:
mysql> CREATE DATABASE SNORT;
mysql> GRANT insert, select ON snort.* TO snort@localhost IDENTIFIED BY 'senha_do_snort';
mysql> GRANT insert, select, delete, update, create ON snort.* TO acid@localhost IDENTIFIED BY 'senha_do_acid';
mysql> quit;
Lembre-se de trocar a senha "senha_do_snort" por algo que você desejar.
E para finalizar (lembre-se: esteja dentro do diretório do source do Snort):
# mysql -u root -p snort < schemas/create_mysql
Este comando irá importar o esquema de tabelas necessárias pro Snort gravar tudo direitinho.
Agora é necessário baixar o arquivo de Regras do Snort. Estes arquivos são diretrizes que guiam o Snort na hora de analisar os pacotes, varrendo por ações maliciosas:
# cd /etc/snort/
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/\
vrt_pr/snortrules-pr-2.4.tar.gz
# tar xzvf snortrules-pr-2.4.tar.gz
# mv rules/* .
(Reparem no ponto final existente na última linha. Não esqueçam de digitá-lo)
Por fim, é necessário que façamos ajustes no arquivo de configuração do Snort. Edite o arquivo /etc/snort/snort.conf e configure as seguintes variáveis com seus devidos valores:
Descompacte-o com:
# tar xzvf snort-2.6.1.1.tar.gz
Entre na pasta que será criada com os arquivos e então compile com:
# ./configure --with-mysql
# make && make install
Agora vamos criar um diretório para depositarmos as regras de análise do tráfego da rede, e demais arquivos de configuração. Ainda dentro do diretório do source do Snort, digite:
# mkdir /etc/snort
# cp etc/* /etc/snort/
Prontinho.
Iremos configurar agora o banco de dados aonde o Snort irá salvar os logs:
# mysql -u root -p
(Você cairá no console de acesso do MySQL)
Digite:
mysql> CREATE DATABASE SNORT;
mysql> GRANT insert, select ON snort.* TO snort@localhost IDENTIFIED BY 'senha_do_snort';
mysql> GRANT insert, select, delete, update, create ON snort.* TO acid@localhost IDENTIFIED BY 'senha_do_acid';
mysql> quit;
Lembre-se de trocar a senha "senha_do_snort" por algo que você desejar.
E para finalizar (lembre-se: esteja dentro do diretório do source do Snort):
# mysql -u root -p snort < schemas/create_mysql
Este comando irá importar o esquema de tabelas necessárias pro Snort gravar tudo direitinho.
Agora é necessário baixar o arquivo de Regras do Snort. Estes arquivos são diretrizes que guiam o Snort na hora de analisar os pacotes, varrendo por ações maliciosas:
# cd /etc/snort/
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/\
vrt_pr/snortrules-pr-2.4.tar.gz
# tar xzvf snortrules-pr-2.4.tar.gz
# mv rules/* .
(Reparem no ponto final existente na última linha. Não esqueçam de digitá-lo)
Por fim, é necessário que façamos ajustes no arquivo de configuração do Snort. Edite o arquivo /etc/snort/snort.conf e configure as seguintes variáveis com seus devidos valores:
var HOME_NET [127.0.0.0/16,192.168.100.0/24]
var EXTERNAL_NET !$HOME_NET
output database: log, mysql, user=snort password=senha_do_snort dbname=snort host=localhost
var EXTERNAL_NET !$HOME_NET
output database: log, mysql, user=snort password=senha_do_snort dbname=snort host=localhost
Agora o Snort está pronto para rodar. Certifique-se de que o MySQL está rodando e execute:
# /usr/local/bin/snort -d -c /etc/snort/snort.conf
Este comando irá rodar o Snort em primeiro plano. Verifique se houve conectividade com o banco de dados e se o snort.conf está correto. Caso tudo corra bem, mate o processo e crie um init script chamado "snort" dentro da pasta /etc/init.d/ com o seguinte conteúdo:
Agora é só configurar o Snort para auto-inicializar em boot-time com o comando:
Para Debian:
# update-rc.d snort defaults
Você não disse.
A ideia do artigo é mto boa, porém não inovadora.
Abraços.