Instalando o Snort no Debian
Publicado por Leonardo Damasceno em 16/09/2009
[ Hits: 25.906 ]
Blog: https://techcraic.wordpress.com
Instalando o Snort no Debian
Snort é um "farejador" que analisa todo o tráfego da rede, porém não toma nenhuma atitude. Neste tutorial você verá como integrar o Snort com o Guardian. O Guardian, por sua vez, toma a ação de atualizar o iptables com os alertas gerados pelo Snort, ou seja, ele interpreta o log do Snort e atualiza a regra do iptables.
Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:
Agora vamos atualizar a lista de pacotes:
# apt-get update
Criar diretório IDS na raiz:
# mkdir /IDS
Criar diretório para instalação do http:
# mkdir /www
Copiar todos os pacotes para /IDS:
# cp snort-xxx.tar.gz /IDS
# cp http-xxx.tar.gz /IDS
Descompactar em /IDS e fazer a compilação:
# tar -zxvf http-xxx.tar.gz
# cd http-xxx
Obs.: Verifique se o pacote build-essential está instalado, pois utilizaremos o compilador GCC e esse pacote já vem o GCC e outros softwares. Caso não esteja devidamente instalado, utilize:
# apt-get -y install build-essential
# ./configure --prefix=/www
# make && make install
Verifique se o iptables está instalado e sua versão utilizando:
# iptables -V
Antes de instalar o Snort, vamos instalar a Libcap, que é necessária para a instalação do Snort:
# apt-cache search libpcap
(assim verificamos o nome e a versão do pacote)
# apt-get -y install libpcap0.8-dev
Foi utilizada a versão 0.8 da libpcap.
Precisamos instalar também o Libpcre:
# apt-get -y install libpcre3-dev
Agora vamos instalar o Snort-xxx:
# tar -zxvf snort-xxx.tar.gz
# cd snort-xxx
# ./configure
# make && make install
Crie os seguintes diretórios:
# mkdir /etc/snort
# mkdir /etc/snort/rules
Ainda no diretório /IDS/snort-xxx faça:
# cd etc/
# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/
Agora vamos colocar as rules baixadas do site snort.org (lembrando que é necessário ter login no referido site para baixar as rules):
# cd /IDS
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cd rules
# cp * /etc/snort/rules
Obs.: O link direto para download é: snortrules-snapshot-CURRENT.tar.gz
Para isso você precisa ter login, mas para criar seu login no site é FREE, grátis. :)
Crie o arquivo que irá guardar os logs:
# mkdir /var/log/snort
# cd /var/log/snort
# touch alert
Para rodar o Snort, edite o arquivo:
# vim /etc/snort/snort.conf
Altere a linha:
var RULE_PATH ../rules
Para:
E faça assim:
# snort -c /etc/snort/snort.conf -o
Ou melhor:
# snort -c /etc/snort/snort.conf -o -i eth0 -D
Definição do Guardian:
"O Guardian, é uma ferramenta que lê os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou você." - Snort + MySQL + Guardian + ACID - ataliba.eti.br
Agora vamos instalar o Guardian:
# cd /IDS
# tar -zxvf guardian-1.7.tar.gz
# cd guardian-1.7/scripts
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie:
# cp iptables_block.sh /usr/bin/guardian_block.sh
# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
# cd ..
# cp guardian.pl /usr/bin
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
Vamos configurar alguns parâmetros no guardian.conf:
Crie o arquivo de log do guardian:
# touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:
# touch /etc/guardian.ignore
Inicie o Guardian:
# guardian.pl -c /etc/guardian.conf
Caso retorne um erro relacionado a seu IP, ex.:
Warning! HostIpAddr undefined!
Attempting to guess...
Abra o arquivo /etc/guardian.conf, no começo do arquivo, descomente a linha:
# HostIpAddr
Deixando assim:
Ex.: HostIpAddr 192.168.0.102
Agora, tente de novo iniciar o Guardian...
Para visualizar o log use:
# tail -f /var/log/snort/alert
Uma observação importante é que o Snort, com o pacote básico das regras, gera muitos falsos positivos, porém serve muito bem, mas caso você tenha uma rede grande, e queira um alto nível de segurança, seria bom comprar as regras!
Onde comprar? No próprio site do Snort
Outra coisa que queria deixar bem claro é que não houve cópia, esse tutorial realmente foi TOTALMENTE elaborado por mim e postado em meu blog:
Porém, faz muito tempo que o fiz, então, busquei algumas referências em blogs e outros sites, mas não me lembro de todos.
Um abraço :)
Referências:
Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:
deb http://ftp.us.debian.org/debian lenny main contrib non-free
deb http://de.debian.org/debian squeeze main
deb http://de.debian.org/debian squeeze main
Agora vamos atualizar a lista de pacotes:
# apt-get update
Criar diretório IDS na raiz:
# mkdir /IDS
Criar diretório para instalação do http:
# mkdir /www
Copiar todos os pacotes para /IDS:
# cp snort-xxx.tar.gz /IDS
# cp http-xxx.tar.gz /IDS
Descompactar em /IDS e fazer a compilação:
# tar -zxvf http-xxx.tar.gz
# cd http-xxx
Obs.: Verifique se o pacote build-essential está instalado, pois utilizaremos o compilador GCC e esse pacote já vem o GCC e outros softwares. Caso não esteja devidamente instalado, utilize:
# apt-get -y install build-essential
# ./configure --prefix=/www
# make && make install
Verifique se o iptables está instalado e sua versão utilizando:
# iptables -V
Antes de instalar o Snort, vamos instalar a Libcap, que é necessária para a instalação do Snort:
# apt-cache search libpcap
(assim verificamos o nome e a versão do pacote)
# apt-get -y install libpcap0.8-dev
Foi utilizada a versão 0.8 da libpcap.
Precisamos instalar também o Libpcre:
# apt-get -y install libpcre3-dev
Agora vamos instalar o Snort-xxx:
# tar -zxvf snort-xxx.tar.gz
# cd snort-xxx
# ./configure
# make && make install
Crie os seguintes diretórios:
# mkdir /etc/snort
# mkdir /etc/snort/rules
Ainda no diretório /IDS/snort-xxx faça:
# cd etc/
# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/
Agora vamos colocar as rules baixadas do site snort.org (lembrando que é necessário ter login no referido site para baixar as rules):
# cd /IDS
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cd rules
# cp * /etc/snort/rules
Obs.: O link direto para download é: snortrules-snapshot-CURRENT.tar.gz
Para isso você precisa ter login, mas para criar seu login no site é FREE, grátis. :)
Crie o arquivo que irá guardar os logs:
# mkdir /var/log/snort
# cd /var/log/snort
# touch alert
Para rodar o Snort, edite o arquivo:
# vim /etc/snort/snort.conf
Altere a linha:
var RULE_PATH ../rules
Para:
var RULE_PATH /etc/snort/rules
E faça assim:
# snort -c /etc/snort/snort.conf -o
Ou melhor:
# snort -c /etc/snort/snort.conf -o -i eth0 -D
Definição do Guardian:
"O Guardian, é uma ferramenta que lê os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou você." - Snort + MySQL + Guardian + ACID - ataliba.eti.br
Agora vamos instalar o Guardian:
# cd /IDS
# tar -zxvf guardian-1.7.tar.gz
# cd guardian-1.7/scripts
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie:
# cp iptables_block.sh /usr/bin/guardian_block.sh
# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
# cd ..
# cp guardian.pl /usr/bin
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
Vamos configurar alguns parâmetros no guardian.conf:
Interface eth0 #Interface eth0, a que terá os terminais bloqueados
AlertFile /var/adm/secure #Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.
AlertFile /var/adm/secure #Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.
Crie o arquivo de log do guardian:
# touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:
# touch /etc/guardian.ignore
Inicie o Guardian:
# guardian.pl -c /etc/guardian.conf
Caso retorne um erro relacionado a seu IP, ex.:
Warning! HostIpAddr undefined!
Attempting to guess...
Abra o arquivo /etc/guardian.conf, no começo do arquivo, descomente a linha:
# HostIpAddr
Deixando assim:
HostIpAddr SEUIP
Ex.: HostIpAddr 192.168.0.102
Agora, tente de novo iniciar o Guardian...
Para visualizar o log use:
# tail -f /var/log/snort/alert
Uma observação importante é que o Snort, com o pacote básico das regras, gera muitos falsos positivos, porém serve muito bem, mas caso você tenha uma rede grande, e queira um alto nível de segurança, seria bom comprar as regras!
Onde comprar? No próprio site do Snort
Outra coisa que queria deixar bem claro é que não houve cópia, esse tutorial realmente foi TOTALMENTE elaborado por mim e postado em meu blog:
Porém, faz muito tempo que o fiz, então, busquei algumas referências em blogs e outros sites, mas não me lembro de todos.
Um abraço :)
Referências:
Outras dicas deste autor
Proxy com autenticação na linha de comando
Criando um "pendrive live" com uma imagem .img
Resolvendo erro do servidor Tomcat no Eclipse: "Cannot create a server using the selected type"
Inserindo data e hora no comando history
Leitura recomendada
Instalação do PostgreSQL 9.1.3 pelo pacote source
Enviar email por script Python no Zope/Plone
Criando um Servidor PHP local no Android
Sistema de Informações em Rede (NIS)
Comentários
[1] Comentário enviado por xlipesousa em 14/03/2013 - 11:55h
Olá, instalei o Snort + Guardian e estava funcionando legal, depois que instalei o MySQL e configurei o BASE (acidbase) o Snort parou de gerar logs no /var/log/snort/alert, com isso o Guardian parou de bloquear também. Vejo todos os pacotes pelo BASE e a conexão com o banco está ok, mas nada de log. Alguém pode me ajudar?
Olá, instalei o Snort + Guardian e estava funcionando legal, depois que instalei o MySQL e configurei o BASE (acidbase) o Snort parou de gerar logs no /var/log/snort/alert, com isso o Guardian parou de bloquear também. Vejo todos os pacotes pelo BASE e a conexão com o banco está ok, mas nada de log. Alguém pode me ajudar?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 70.713 pts -
Fábio Berbert de Paula
2° lugar - 57.845 pts -
Clodoaldo Santos
3° lugar - 43.348 pts -
Buckminster
4° lugar - 23.783 pts -
Sidnei Serra
5° lugar - 22.993 pts -
Daniel Lara Souza
6° lugar - 17.251 pts -
Mauricio Ferrari
7° lugar - 17.273 pts -
Alberto Federman Neto.
8° lugar - 17.237 pts -
Diego Mendes Rodrigues
9° lugar - 15.930 pts -
edps
10° lugar - 14.416 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
