Detecção de intrusos (IDS), conceitos e implantação do SNORT

evertongodoi

Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.

[ Hits: 84.907 ]

Por: Everton Godoi em 09/05/2007 | Blog: http://twitter.com/evertongodoi

1 0

Denuncie Favoritos Indicar Impressora

Instalação do BASE

Agora vamos fazer a instalação do BASE, mas para ele funcionar precisamos ter um servidor Apache-SSL funcionando, então vamos fazer algumas configurações que são necessárias para ele rodar com suporte a PHP:

# vi /etc/apache-ssl/httpd.conf

#--------------------------------------------
# Se não tiver estas linhas você deve adicioná-las
#
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
#
#-------------------------------------------

# vi/etc/php4/apache/php.ini

#--------------------------------------------
# Se não tiver estas linhas você deve adicioná-las
#
extension=mysql.so
#
#--------------------------------------------

Reiniciando o servidor Apache-SSL:

# . /etc/init.d/apache-ssl restart

Instalação do base (Basic Analysis and Security Engine)

Acessando a pasta www do apache:

# cd /var/www

Fazendo download do base:

# wget http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gz

Removendo a página index.html do diretório www e descompactando o base-1.2.7 aqui baixado, renomeando pasta e alterando permissões de usuários da pastas para o usuários web (www-data):

# rm index.html
# tar xvzf base-1.2.7.tar.gz
# mv base-1.2.7 base
# chown -R www-data:www-data base

Agora vamos configurar o base via web, primeiro abra o browser e acesse o endereço:

https://www.seuserver.com.br/base

E adicione as configurações básicas do BASE:

Linguagem: Português
Path para o Adobd: /usr/share/adodb/

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Clique em "create baseag"

Agora vá para o passo 5: login

Configurando o PEAR no Debian:

# pear config-set preferred_state alpha

Instalando alguns pacotes necessários do Pear para que o BASE funcione normalmente:

# pear install Image_Color
# pear install Image_Canvas
# pear install Image_Graph

Configurando o php4 para suportar a biblioteca gráfica do php-gd:

# vim /etc/php4/cli/php.ini

#-------------------------------------------------------
# Descomente a linha abaixo
#
extension=gd.so
#
#-------------------------------------------------------

Espero ter ajudado a comunidade com este artigo, pois demorei algum tempo para fazê-lo. Está bem tranqüilo para entender o que é, como funciona e implantação de um IDS na rede.

Estou a disposição para esclarecer dúvidas dos usuários da comunidade, obrigado a todos, T+.

Everton Godoi - evertongodoi@hotmail.com

Página anterior

Páginas do artigo

   1. Detecção de intrusos e anomalias
   2. Software de IDS Snort
   3. Instalação do Snort
   4. Instalação do BASE

Outros artigos deste autor

SQUID e as autenticações em NTLM e RADIUS

Ligando e abrindo somente uma aplicação no Linux

Montando RAID manual no Linux

Proxy transparente com Squid 2.6 e FWBuilder

Instalação do Apache, MySQL e PHP

Leitura recomendada

Usando direcionadores de fluxo

Docker - Da virtualização a aplicações distribuídas

Zenwalk 5.2 - Minhas impressões

O gerenciador de pacotes RPM

Dando uma olhada no Mageia 7 (beta)

Comentários

[1] Comentário enviado por y2h4ck em 09/05/2007 - 10:36h

Achei uma falha de segurança no seu artigo :)

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)

Abraços.

0 0

[2] Comentário enviado por evertongodoi em 09/05/2007 - 10:46h

Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:

1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;

2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('senhaSnortMysql');
mysql> exit

1 0

[3] Comentário enviado por osky_cg.w em 09/05/2007 - 19:55h

Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s

0 0

[4] Comentário enviado por dailson em 15/05/2007 - 16:30h

Parabéns Pelo Artigo e Parabéns ao y2h4ck

0 0

[5] Comentário enviado por aroldobossoni em 08/07/2009 - 16:37h

Minha duvida é sobre o desempenho.

Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina

Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.

O que vc me aconselha nessa situação?

0 0

[6] Comentário enviado por alexsandroe em 06/06/2012 - 00:43h

Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.

Parabéns pelo Tópico, excelente.

0 0