Detecção de intrusos (IDS), conceitos e implantação do SNORT
Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.
[ Hits: 85.105 ]
Por: Everton Godoi em 09/05/2007 | Blog: http://twitter.com/evertongodoi
Instalação do Snort
Antes de iniciar a instalação do Snort temos que instalar todas as dependências dele para que funcione junto com o BASE, vamos então iniciar a instalação baseado na lista abaixo:
Instalação do servidor Web:
# apt-get install apache apache-ssl
Instalação do servidor de Banco de Dados:
# apt-get install mysql-server libmysqlclient12-dev zlib1g-dev
Instalação da linguagem Web PHP:
# apt-get install php4 php4-mysql libphp-adodb libnet1 libnet1-dev php4-gd php4-gd php4-pear php4-cli
Instalação do TCPDump:
# apt-get install tcpdump libpcap0.8 libpcap0.8-dev libpcre3-dev
Agora vamos fazer a instalação do Snort, é recomendável sempre verificar no site oficial do Snort qual a última versão do software para fazer a instalação, hoje vamos fazer a instalação da versão 2.6.1.4.
Vamos acessar a pastar /usr/local/src/ que eu utilizo como a pasta padrão para os source que eu faço download:
# cd /usr/local/src/
Baixando o snort-2.6.1.4.tar.gz:
# wget http://www.snort.org/dl/current/snort-2.6.1.4.tar.gz
Descompactando o arquivo baixado:
# tar -xvzf snort-2.6.1.4.tar.gz
Agora vamos compilar e instalar o Snort já com suporte a MySQL:
# cd /usr/local/src/snort-2.6.1.4
# ./configure --with-mysql
# make
# make install
# ./configure --with-mysql
Criar as pastas padrões para o Snort funcionar:
# mkdir /etc/snort /var/log/snort
Agora vamos criar a conta e o grupo de trabalho do Snort:
# addgroup --gid 70 snort
# adduser --no-create-home --shell /bin/false --gid 70 --uid 70 --disabled-password snort
Vamos adicionar algumas regras oficiais no Snort, acesse o site:
e verifique qual a última versão que está disponível no site, aqui iremos instalar a 2.4:
# cd /etc/snort
# wget http://www.snort.org/pub-bin/downloads.cgi/\
Download/sub_rules/snortrules-snapshot-2.4_s.tar.gz
Descompactando o pacote com as regras e fazendo uma copia dos arquivos .conf e .map do snort:
# tar -xvzf snortrules-snapshot-2.4_s.tar.gz
Após descompactar ele irá criará automaticamente as pastas rules e doc, isso dentro da pasta que você descompactar, que deve ser a /etc/snort.
Agora vamos fazer cópia dos arquivos .conf e .map:
# cp /usr/local/src/snort-2.6.1.4/etc/*.conf* /etc/snort/
# cp /usr/local/src/snort-2.6.1.4/etc/*.map /etc/snort/
Agora vamos configurar o snort:
# vi /etc/snort/snort.conf
- APACHE: apache apache-ssl
- MYSQL: mysql-server libmysqlclient12-dev zlib1g-dev
- PHP 4: php4 php4-mysql libphp-adodb libnet1 libnet1-dev php4-gd php4-gd php4-pear php4-cli
- TCPDUMP: tcpdump libpcap0.8 libpcap0.8-dev libpcre3-dev
Instalação do servidor Web:
# apt-get install apache apache-ssl
Instalação do servidor de Banco de Dados:
# apt-get install mysql-server libmysqlclient12-dev zlib1g-dev
Instalação da linguagem Web PHP:
# apt-get install php4 php4-mysql libphp-adodb libnet1 libnet1-dev php4-gd php4-gd php4-pear php4-cli
Instalação do TCPDump:
# apt-get install tcpdump libpcap0.8 libpcap0.8-dev libpcre3-dev
Agora vamos fazer a instalação do Snort, é recomendável sempre verificar no site oficial do Snort qual a última versão do software para fazer a instalação, hoje vamos fazer a instalação da versão 2.6.1.4.
Vamos acessar a pastar /usr/local/src/ que eu utilizo como a pasta padrão para os source que eu faço download:
# cd /usr/local/src/
Baixando o snort-2.6.1.4.tar.gz:
# wget http://www.snort.org/dl/current/snort-2.6.1.4.tar.gz
Descompactando o arquivo baixado:
# tar -xvzf snort-2.6.1.4.tar.gz
Agora vamos compilar e instalar o Snort já com suporte a MySQL:
# cd /usr/local/src/snort-2.6.1.4
# ./configure --with-mysql
# make
# make install
# ./configure --with-mysql
Criar as pastas padrões para o Snort funcionar:
# mkdir /etc/snort /var/log/snort
Agora vamos criar a conta e o grupo de trabalho do Snort:
# addgroup --gid 70 snort
# adduser --no-create-home --shell /bin/false --gid 70 --uid 70 --disabled-password snort
Vamos adicionar algumas regras oficiais no Snort, acesse o site:
e verifique qual a última versão que está disponível no site, aqui iremos instalar a 2.4:
# cd /etc/snort
# wget http://www.snort.org/pub-bin/downloads.cgi/\
Download/sub_rules/snortrules-snapshot-2.4_s.tar.gz
Descompactando o pacote com as regras e fazendo uma copia dos arquivos .conf e .map do snort:
# tar -xvzf snortrules-snapshot-2.4_s.tar.gz
Após descompactar ele irá criará automaticamente as pastas rules e doc, isso dentro da pasta que você descompactar, que deve ser a /etc/snort.
Agora vamos fazer cópia dos arquivos .conf e .map:
# cp /usr/local/src/snort-2.6.1.4/etc/*.conf* /etc/snort/
# cp /usr/local/src/snort-2.6.1.4/etc/*.map /etc/snort/
Agora vamos configurar o snort:
# vi /etc/snort/snort.conf
## Edite o arquivo como monstra abaixo
#
# Arquivo com regras do snort
var RULE_PATH /etc/snort/rules
# Rede onde o snort irá trabalhar
var HOME_NET 192.168.1.0/24
#
var EXTERNAL_NET !$HOME_NET
#
# Arquivo com regras do snort
var RULE_PATH /etc/snort/rules
# Rede onde o snort irá trabalhar
var HOME_NET 192.168.1.0/24
#
var EXTERNAL_NET !$HOME_NET
Adicionando o Snort no MySQL para ele armazenar os logs de captura no banco de dados:
# mysql -u root -p
mysql> create database snort;
mysql> exit;
# cd /usr/local/src/snort-2.6.1.4/schemas/
# mysql -u root -p < create_mysql snort
Configuração para o Snort utilizar o MYSQL:
# vi /etc/snort/snort.conf
# Arquivo de configuração do Snort, para ele funcionar normalmente
# deve-se descomentar a linha output
# database: log to a variety of databases
# ---------------------------------------
#
output database: log, mysql, user=root password=senhaMysql dbname=snort host=localhost
#----------------------------------------
# deve-se descomentar a linha output
# database: log to a variety of databases
# ---------------------------------------
#
output database: log, mysql, user=root password=senhaMysql dbname=snort host=localhost
#----------------------------------------
Finalizamos aqui a instalação do Snort com suporte a MySQL, agora vamos para a instalação do BASE.
Páginas do artigo
1. Detecção de intrusos e anomalias2. Software de IDS Snort
3. Instalação do Snort
4. Instalação do BASE
Outros artigos deste autor
Proxy transparente com Squid 2.6 e FWBuilder
SQUID e as autenticações em NTLM e RADIUS
Ligando e abrindo somente uma aplicação no Linux
Instalação do Apache, MySQL e PHP
Leitura recomendada
Transformando seu Windows em um quase Linux
Problemas "bobos" que tive com Sabayon e como resolvê-los
Instalação passo a passo do Slackware 12.2
Adicionando um atalho na área de trabalho a um compartilhamento de rede no Ubuntu
Pós-instalação do Arch Linux em um Dell Vostro 1400
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2007 - 10:36h
Achei uma falha de segurança no seu artigo :)
Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql
Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)
Abraços.
Achei uma falha de segurança no seu artigo :)
Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql
Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)
Abraços.
[2] Comentário enviado por evertongodoi em 09/05/2007 - 10:46h
Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:
1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;
2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql');
mysql> exit
Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:
1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;
2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql');
mysql> exit
[3] Comentário enviado por osky_cg.w em 09/05/2007 - 19:55h
Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s
Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s
[5] Comentário enviado por aroldobossoni em 08/07/2009 - 16:37h
Minha duvida é sobre o desempenho.
Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina
Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.
O que vc me aconselha nessa situação?
Minha duvida é sobre o desempenho.
Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina
Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.
O que vc me aconselha nessa situação?
[6] Comentário enviado por alexsandroe em 06/06/2012 - 00:43h
Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.
Parabéns pelo Tópico, excelente.
Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.
Parabéns pelo Tópico, excelente.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Dicas
Realizar overclock no Miyoo Mini (plus ou normal)
Otimização de memória para máquinas modestas
Tópicos
Direcionar uma URL para Outra No Mikrotik (0)
linux mint reconhece microfone de lapela como fone de ouvido sem micro... (1)
Top 10 do mês
-
Xerxes
1° lugar - 59.966 pts -
Fábio Berbert de Paula
2° lugar - 34.946 pts -
Buckminster
3° lugar - 18.343 pts -
Mauricio Ferrari
4° lugar - 13.064 pts -
Sidnei Serra
5° lugar - 12.134 pts -
Alberto Federman Neto.
6° lugar - 11.588 pts -
Daniel Lara Souza
7° lugar - 11.358 pts -
edps
8° lugar - 10.662 pts -
Diego Mendes Rodrigues
9° lugar - 9.757 pts -
Andre (pinduvoz)
10° lugar - 9.762 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
