Debian Sarge + Snort + MySQL + Acidlab + Apache
Este artigo visa ensinar como montar um sistema de detecção de intrusos utilizando o MySQL para armazenar os alertas e o Apache para exibir as páginas de relatório que o Acidlab produz.
Parte 5: Configuração do SNORT
Agora vamos configurar o SNORT. É necessário editar o arquivo /etc/snort/snort.conf. Primeiro, configure a rede interna no parâmetro já existente:
var HOME_NET [127.0.0.0/16,192.168.100.0/24]
Observe que indiquei a rede do localhost, isso reduz bastante os falsos positivos, após a vírgula está minha rede interna e minha rede externa que sai para internet é 192.168.200.0/24, mas por padrão declaramos que se não é da rede interna é considerada externa, como abaixo:
Um dado importante é declarar corretamente o banco de dados de saída como abaixo, normalmente se já existe, é necessário completar os parâmetros:
Note que utilizei conforme criei no MySQL, já que esta é a saída para o snort inserir os dados no MySQL. As regras de análise válidas estão no final do arquivo, como esta abaixo:
A variável $RULE_PATH é /etc/snort/rules/ e local.rules é um arquivo de regra para identificar ataques. Você pode inserir novas regras apenas descomentando as já existentes que se encontram no diretório em questão, as comentadas normalmente necessitam de configuração para não gerar falsos positivos e você também pode baixar novas regras e colocar em /etc/snort/rules e inserir uma linha include como no exemplo acima para a regra ficar valendo.
OK! Com isto seu SNORT já está configurado. O SNORT é tido como o melhor IDS (Sistema de Detecção de Intrusão) para servidores Linux, ele não cria regras de bloqueio, você terá que criar suas regras no IPTABLES, ou utilizar o SNORT em conjunto com o GUARDIAN, este automatiza regras no IPTABLES de acordo com ocorrências no SNORT, porém pode bloquear serviços importantes da sua rede por causa dos falsos positivos, ataques que não são ataques, primeiro configure e utilize o SNORT durante um longo tempo até remover todos falsos positivos e acertar bem seu IDS, para depois pensar em utilizar o GUARDIAN.
2. Preparando o sistema para as configurações
3. Criando base de dados no MYSQL para o SNORT
4. Configuração do Apache
5. Configuração do SNORT
6. Configuração do ACIDLAB no APACHE
#1
Comentário enviado por leoberbert em 30/05/2006 - 14:13h
#2
Comentário enviado por dcyrillo em 19/07/2006 - 10:59h
#3
Comentário enviado por B3n0ne em 16/08/2006 - 13:04h
#4
Comentário enviado por fontebon em 07/01/2007 - 04:17h
#5
Comentário enviado por duraes em 01/03/2007 - 17:20h
#6
Comentário enviado por b3n0ne em 05/04/2007 - 14:25h
#7
Comentário enviado por epgielow em 18/10/2007 - 14:50h
#8
Comentário enviado por celsopimentel em 06/11/2007 - 17:49h
#9
Comentário enviado por durama em 08/06/2008 - 19:17h
Observe que indiquei a rede do localhost, isso reduz bastante os falsos positivos, após a vírgula está minha rede interna e minha rede externa que sai para internet é 192.168.200.0/24, mas por padrão declaramos que se não é da rede interna é considerada externa, como abaixo:
var EXTERNAL_NET !$HOME_NET
Um dado importante é declarar corretamente o banco de dados de saída como abaixo, normalmente se já existe, é necessário completar os parâmetros:
output database: log, mysql, user=snort password=123 dbname=snort
host=localhost
host=localhost
Note que utilizei conforme criei no MySQL, já que esta é a saída para o snort inserir os dados no MySQL. As regras de análise válidas estão no final do arquivo, como esta abaixo:
include $RULE_PATH/local.rules
A variável $RULE_PATH é /etc/snort/rules/ e local.rules é um arquivo de regra para identificar ataques. Você pode inserir novas regras apenas descomentando as já existentes que se encontram no diretório em questão, as comentadas normalmente necessitam de configuração para não gerar falsos positivos e você também pode baixar novas regras e colocar em /etc/snort/rules e inserir uma linha include como no exemplo acima para a regra ficar valendo.
OK! Com isto seu SNORT já está configurado. O SNORT é tido como o melhor IDS (Sistema de Detecção de Intrusão) para servidores Linux, ele não cria regras de bloqueio, você terá que criar suas regras no IPTABLES, ou utilizar o SNORT em conjunto com o GUARDIAN, este automatiza regras no IPTABLES de acordo com ocorrências no SNORT, porém pode bloquear serviços importantes da sua rede por causa dos falsos positivos, ataques que não são ataques, primeiro configure e utilize o SNORT durante um longo tempo até remover todos falsos positivos e acertar bem seu IDS, para depois pensar em utilizar o GUARDIAN.
Páginas do artigo
1. Apresentação dos programas2. Preparando o sistema para as configurações
3. Criando base de dados no MYSQL para o SNORT
4. Configuração do Apache
5. Configuração do SNORT
6. Configuração do ACIDLAB no APACHE
Outros artigos deste autor
Nenhum artigo encontrado.Leitura recomendada
Restrição em diretórios usando o Apache2 sem mistérios
Bind: Explorando e evitando falhas
Alta Disponibilidade (High Availability) em sistemas GNU/Linux
Criptografando sua Home com Gocryptfs para tristeza do meliante
Comentários
Olá!
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?
Fiz tudo certinho, artigo excelente!
Estou achando estranho ele nao está logando no banco de dados, aonde eu posso verificar o log para encontrar aonde está o erro?
faz assim:
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe
vai no /etc/my.cnf e habilite os log do mysql neste arquivo...
Hum como habilita falhou agora googla aí...hehehehe
Muito Bom ....parabens...funcionou legal
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting
Outra coisa tem alguma ferramenta para testar tentiva de invasao
Uma pergunta tem alguma ferramenta para traduzir para portugues o acidlab
Outra coisa verifiquei que ususrio snort nao esta dando update na tabela do banco ceja abaixo:
Protocol: 17 (%22.222222) finds: 6 reversed: 0(%0.000000)
find_sucess: 5 find_fail: 1 percent_success: (%83.333333) new_flows: 1
database: mysql_error: Access denied for user: 'snort@localhost' to database 'snort'
SQL=UPDATE sensor SET last_cid = 0 WHERE sid = 2
database: Closing connection to database ""
Snort exiting
Outra coisa tem alguma ferramenta para testar tentiva de invasao
Aew!
Artigo porreta! Parabéns!
Ao colera fontebon:
Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.
abraços,
Capita
Artigo porreta! Parabéns!
Ao colera fontebon:
Sugiro instalar o phpmyadmin ( vou via console do mysql mesmo ) liberar esse privilégio para o usuário snort.
abraços,
Capita
Valeu os elogios...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...
Não costumo publicar tutoriais, mas já que vocês gostaram vou arranjar tempo para escrever mais alguns, mas gosto de fazer o mais completo possível, aí se o bonito for newbie não tem problema AhauhaUHAUhauahuah brincadeiras a parte a comunidade do site do vivaolinux já me ajudou bastante vou devolvendo aos poucos...
se liga ai que o usuario snort no arquiv snort.conf na parte de data base esta com um espaco no final.. isso tava dando problema!
falow!
falow!
Parabéns, me ajudou e muito. Pois estou estudando o framework OSSIM, que possui o snort no pacote. Tchê, já fiz treinamento com você na sis....
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!
Outra, quando tiver um tempo da uma olhada no www.ossim.net, achei muito interessante.
Abraço!
Muito bom, vou testar!
CONGRATULATIONS!!!