Debian Sarge + Snort + MySQL + Acidlab + Apache

B3n0ne

Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.

[ Hits: 73.998 ]

Por: Benone Bitencourt em 30/05/2006 | Blog: http://www.benone.com.br

0 0

Denuncie Favoritos Indicar Impressora

Configuração do ACIDLAB no APACHE

Instalando e configurando o ACIDLAB

# apt-get install acidlab acidlab-doc acidlab-mysql libphp-adodb libphp-phplot wwwconfig-common

OBS: Instalando o acilab-mysql e o acidlab-doc, o apt instala os demais como dependências.

Agora, vamos configurar o ACIDLAB. Primeiro, vamos criar um arquivo para declarar o site para o ACIDLAB no APACHE2:

# cd /etc/apache2/sites-avaliable
# touch acidlab

Agora vamos aproveitar a declaração pronta do acidalab para publicar o site no Apache2:

# vi acidlab

No vi, em modo comando (sem dar insert) digite ":r /etc/acidlab/apache.conf".

Veja que ele carrega os módulos de php3 e php4 sendo que temos que carregar individualmente, pois retiramos anteriormente da configuração geral.

Digite fora do insert :x ou :wq que o VI grava e sai.

Publicamos o novo site.

# a2ensite acidlab

Restartamos o Apache:

# /etc/init.d/./apache2 restart

Agora vamos configurar o ACIDLAB:

# vi /etc/acidlab/acid_conf.php

No VI, digite :32 você vai direto para a linha 32 onde começamos a alterar o seguinte trecho:

$alert_dbname   = "snort_log";
$alert_host     = "localhost";
$alert_port     = "";
$alert_user     = "root";
$alert_password = "mypassword";

/* Archive DB connection parameters */
$archive_dbname   = "snort_archive";
$archive_host     = "localhost";
$archive_port     = "";
$archive_user     = "root";
$archive_password = "mypassword";

Para:

$alert_dbname   = "snort ";
$alert_host     = "localhost";
$alert_port     = "";
$alert_user     = "acid";
$alert_password = "senha_do_acid";

/* Archive DB connection parameters */
$archive_dbname   = "snort ";
$archive_host     = "localhost";
$archive_port     = "";
$archive_user     = "snort";
$archive_password = "senha_do_snort";

Pronto, acesse http://localhost/acidlab utilizando algum browser (navegador). Vai parecer um erro, mas é normal na primeira vez a página que aparece, clique no link setup page que se encontra no texto da página.Depois no botão Create_ACID_AG.

E finalmente em home agora basta aguardar que começa a logar com o tempo e aparecer aí pode demorar algum tempo se sua rede tem pouco tráfego, o que você pode fazer é descomentar as rules que comentei anteriormente que causam fake positive para ver atividade no acidlab atualizando a página após reiniciar o snort:

# /etc/init.d/./snort restart

Depois comente as regras novamente e reinicie o snort novamente, pois não queremos falsos positivos.

Bom, era isso, estava devendo isso para vários alunos e se alguém da comunidade open aproveitar melhor ainda. Open source na veia! E espero que tenham gostado, poderia ter ficado melhor, mas "A preguiça é inimiga da perfeição".

Qualquer coisa entrem em contato.

Benone "E1 To5c0" Bitencourt

Página anterior

Páginas do artigo

   1. Apresentação dos programas
   2. Preparando o sistema para as configurações
   3. Criando base de dados no MYSQL para o SNORT
   4. Configuração do Apache
   5. Configuração do SNORT
   6. Configuração do ACIDLAB no APACHE

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Análise de Atividades Suspeitas com Audit

Estrutura do Iptables

Política de Segurança para Dispositivos Móveis

Block Hosts: Bloqueando ataques de força-bruta (brute force) em FTP, SSH e outros

Segurança na Internet

Comentários

[1] Comentário enviado por leoberbert em 30/05/2006 - 14:13h

Excelente artigo... Bem completo e eficaz... testado e aprovado!!!

CONGRATULATIONS!!!

0 0

[2] Comentário enviado por dcyrillo em 19/07/2006 - 10:59h

Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?

0 0

[3] Comentário enviado por B3n0ne em 16/08/2006 - 13:04h

faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe

0 0

[4] Comentário enviado por fontebon em 07/01/2007 - 04:17h

Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting

Outra coisa tem alguma ferramenta para testar tentiva de invasao

0 0

[5] Comentário enviado por duraes em 01/03/2007 - 17:20h

Aew!

Artigo porreta! Parabéns!

Ao colera fontebon:

Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.

abraços,

Capita

0 0

[6] Comentário enviado por b3n0ne em 05/04/2007 - 14:25h

Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...

0 0

[7] Comentário enviado por epgielow em 18/10/2007 - 14:50h

se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!

falow!

0 0

[8] Comentário enviado por celsopimentel em 06/11/2007 - 17:49h

Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!

0 0