Segurança - Instalando o Snort IDS no Linuxpostado por nightnux - comentários 0- enviar !O SNORT é uma ferramenta NIDS desenvolvida por Martin Roesch, bastante popular por sua flexibilidade nas configurações de regras e constante atualização. O Guardian funciona em conjunto com o Snort, ele atualiza automaticamente as regras de vários firewalls ( ipfw, iptables, etc ) com base nos alertas gerados pelo Snort. O trabalho conjunto do Snort e do Guardian torna possívelações reativas em caso de intrusão e prevenção de ataques futuros. Instalação Pacotes básicos=============== sudo apt-get install apache2 mysql-server php5 php5-mysql libmysqlclient12-dev php5-gd php-pear php-image-canvas php-image-graph libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev Crie um diretório para temp mkdir ~/temp Baixe o ADODB cd ~/temp wget http://ufpr.dl.sourceforge.net/sourceforge/adodb/adodb493a.tgzBaixe o Base wget http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gzBaixe o Snortwget http://www.snort.org/dl/current/snort-2.6.1.2.tar.gzBaixe o PCRE wget http://ufpr.dl.sourceforge.net/sourceforge/pcre/pcre-7.0.tar.gzCrie um arquivo index.php sudo vi /var/www/index.php <?php phpinfo(); ?> Teste funcionamento do Apache acesso o servidor digitando http://localhost<BR< a>/>na barra de endereços do navegador. Compilar e Instalar o PCRE sudo tar zxf pcre-7.0.tar.gz cd pcre-7.0 sudo ./configure sudo make sudo make install Compilar e Instalar o Snort
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Segurança - Instalando o Snort IDS no Linux postado por nightnux - comentários 0 - enviar !
O SNORT é uma ferramenta NIDS desenvolvida por Martin Roesch, bastante popular por suaflexibilidade nas configurações de regras e constante atualização. O Guardian funciona em conjuntocom o Snort, ele atualiza automaticamente as regras de vários firewalls ( ipfw, iptables, etc ) com
base nos alertas gerados pelo Snort. O trabalho conjunto do Snort e do Guardian torna possível ações reativas em caso de intrusão e prevenção de ataques futuros. Instalação
OBS: Existem 3 tipos de download de regras do snort
1. Subscrição - Pago2. Registrado - Gratuito3. Comunidade - Gratuito
Aconselho você baixar o registrado, porque são regras atualizadas. Para issoclique no link download do pacote nortrules-snapshot-CURRENT.tar.gz e façaseu registro.
Salve o arquivo no diretório /etc/snort e descompacte-o.
Configurando o Snort ====================
Edite o arquivo /etc/snort/snort.conf alterando as entradas abaixo
sudo vi /etc/snort/snort.conf
var HOME_NET any #Para capturar todos as redesvar EXTERNAL_NET !$HOME_NET #Tudo o que não for HOME_NET é externovar RULE_PATH /etc/snort/rules #Caminho para as regras
sudo mysql -u root -p < ~/temp/snort-2.6.1.2/schemas/create_mysql snort
Verifique se a base de dados do Snort foi criada corretamente
sudo mysql -p
mysql> SHOW DATABASES;--------------------| Database |--------------------| information_schema || mysql || snort |--------------------3 rows in set (0.01 sec)
mysql> use snortReading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> SHOW TABLES;------------------| Tables_in_snort |------------------| acid_ag || acid_ag_alert |
$DBtype = 'mysql';$alert_dbname = 'snort';$alert_host = 'localhost';$alert_port = '';$alert_user = 'snort';$alert_password = 'senha_usuario_snort'; /* Archive DB connection parameters */$archive_exists = 0; # Set this to 1 if you have an archive DB
Crie no diretório /etc/snort/rules os seguintes arquivos. Faça isso usando o comando touch
O programa Guardian utiliza sempre os scripts denominados guardian_block.she guardian_unblock.sh . Assim, deverão ser copiados para os arquivos comesses nomes correspondentes ao firewall que pretendemos utilizar. No nossocaso usaremos o iptables
Instalando o SAMBS (Snort + Apache2 + MySQL +BarnYard2 + Snorby) no Debian
Segunda-feira, 22/08/2011 às 10h30, por Luiz Cezar Quaquio
Veja neste artigo a instalação do sistema de detecção de intrusão na rede Snort, logando no banco de dados MySQLatravés do BarnYard2 e visualizando os logs e gráficos gerenciais pelo Snorby, rodando no servidor Web Apache2, tudo
Durante a instalação, será pedida a senha para o usuário root do MySQL, mas, se houver algum problema, configure asenha do root do MySQL com o comando:
# mysqladmin -u root password senharootdomysql
Vamos criar o banco de dados e o usuário para acessá-lo:
# mysql -u root -p
Já no shell do MySQL:
CREATE DATABASE snort; GRANT all privileges ON snort.* TO snort@localhost IDENTIFIED BY 'senha_snort_mysql'; flush privileges; QUIT
Instalando o SNORT
Instalando o SNORT:
# apt-get install snort-mysql snort-rules-default
Criando as tabelas para o snort:
# zcat /usr/share/doc/snort-mysql/create_mysql.gz | mysql -u snort -h localhost -psnort
Agora vamos configurar o SNORT editando o arquivo /etc/snort/snort.debian.conf.
Primeiro, configure a rede interna no parâmetro já existente:
# cd /etc/snort # barnyard2 -d /var/log/snort -f snort.out *** Os comandos acima parainicialização d o BarnYard2 deverão ser executados sempre na inicialização d o sistema,sugiro colocá-los no /etc/rc.local ***
# wget http://wkhtmltopdf.googlecode.com/files/wkhtmltopdf-0.10.0_rc2-static-i386.tar.bz2 # tar xvjf wkhtmltopdf-0.10.0_rc2-static-i386.tar.bz2 # cp wkhtmltopdf-
i386 /usr/sbin/wkhtmltopdf
Instalando o ruby:
# wget http://ftp.ruby-lang.org//pub/ruby/1.9/ruby-1.9.2-p290.tar.gz # tar -xvzfruby-1.9.2-p290.tar.gz # cd ruby-1.9.2-p290 # ./configure # make && make install
# git clone http://github.com/Snorby/snorby.git /var/www/snorby Editamos o arquivo deconfiguração d o banco de dados: # vi /var/www/snorby/config/database.yml snorby:&snorby adapter: mysql username: snort password: senha_snort_mysql host: localhostEditamos o arquivo de configuração d o Snorby: # vi/var/www/snorby/config/snorby_config.yml development: domain: localhost:3000 wkhtmltopdf: /usr/sbin/wkhtmltopdf test: domain: localhost:3000 wkhtmltopdf:/usr/sbin/wkhtmltopdf production: domain: localhost:3000 wkhtmltopdf:
/usr/sbin/wkhtmltopdf
Já no shell do MySQL:
GRANT all privileges ON snorby.* TO snort@localhost; flush privileges; QUIT
Instalando o Snorby:
# cd /var/www/snorby # bundle install # rake snorby:setup RAILS_ENV=production
Edite o arquivo /etc/apache2/sites-available/default:
< Virtualhost *:80> # ServerName infosegura DocumentRoot /var/www/snorby/public/<Directory /var/www/snorby/public> RailsBaseURI / Options +ExecCGI FollowSymLinks -MultiViews AllowOverride all Order allow,deny Allow from all </Directory>
Reinicie o apache2:
# /etc/init.d/apache2 restart
Vamos reiniciar o SNORT:
# /etc/init.d/snort restart
Iniciando o Snorby:
# cd /var/www/snorby # ruby script/delayed_job start -e production *** Os comandosacima para inicialização d o Snorby deverão ser executados sempre na inicialização d o
sistema, sugiro colocá-los no /etc/rc.local ***
Acesse pelo navegador o Snorby: http://<ip_snorby>
Edite o arquivo com as credenciais de acesso ao banco de dados MySQL e coloque o usuário e senha de acesso aobanco do Snorby:
# vi config/database.yml
Atualize o Snorby:
# rake snorby:update
Acesse pelo navegador o Snorby: http://<ip_snorby>
Referências:
y http://muchikon.blogspot.com/2011/03/snorby-225-en-debian-wheezy.html y https://lswiki.byu.edu/index.php/Snort,_Barnyard2,_and_Snorby y http://www.vivaolinux.com.br/artigo/Debian-Sarge-+-Snort-+-MySQL-+-Acidlab-+-Apache/