Detecção de intrusos (IDS), conceitos e implantação do SNORT

Breve conceito sobre detecção de intrusos e anomalias. Aqui estarei mostrando um pouco dos meus conhecimentos sobre IDS, NIDS e HIDS. Também faremos uma instalação do Snort com BASE para colocarmos na prática o conhecimento adquirido. Testado em Debian.

[ Hits: 80.954 ]

Por: Everton Godoi em 09/05/2007 | Blog: http://twitter.com/evertongodoi


Instalação do BASE



Agora vamos fazer a instalação do BASE, mas para ele funcionar precisamos ter um servidor Apache-SSL funcionando, então vamos fazer algumas configurações que são necessárias para ele rodar com suporte a PHP:

# vi /etc/apache-ssl/httpd.conf

#--------------------------------------------
# Se não tiver estas linhas você deve adicioná-las
#
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
#
#-------------------------------------------

# vi/etc/php4/apache/php.ini

#--------------------------------------------
# Se não tiver estas linhas você deve adicioná-las
#
extension=mysql.so
#
#--------------------------------------------

Reiniciando o servidor Apache-SSL:

# . /etc/init.d/apache-ssl restart

Instalação do base (Basic Analysis and Security Engine)

Acessando a pasta www do apache:

# cd /var/www

Fazendo download do base:

# wget http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gz

Removendo a página index.html do diretório www e descompactando o base-1.2.7 aqui baixado, renomeando pasta e alterando permissões de usuários da pastas para o usuários web (www-data):

# rm index.html
# tar xvzf base-1.2.7.tar.gz
# mv base-1.2.7 base
# chown -R www-data:www-data base


Agora vamos configurar o base via web, primeiro abra o browser e acesse o endereço:

https://www.seuserver.com.br/base

E adicione as configurações básicas do BASE:

Linguagem: Português
Path para o Adobd: /usr/share/adodb/

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Clique em "create baseag"

Agora vá para o passo 5: login

Configurando o PEAR no Debian:

# pear config-set preferred_state alpha

Instalando alguns pacotes necessários do Pear para que o BASE funcione normalmente:

# pear install Image_Color
# pear install Image_Canvas
# pear install Image_Graph


Configurando o php4 para suportar a biblioteca gráfica do php-gd:

# vim /etc/php4/cli/php.ini

#-------------------------------------------------------
# Descomente a linha abaixo
#
extension=gd.so
#
#-------------------------------------------------------

Espero ter ajudado a comunidade com este artigo, pois demorei algum tempo para fazê-lo. Está bem tranqüilo para entender o que é, como funciona e implantação de um IDS na rede.

Estou a disposição para esclarecer dúvidas dos usuários da comunidade, obrigado a todos, T+.

Everton Godoi - [email protected]

Página anterior    

Páginas do artigo
   1. Detecção de intrusos e anomalias
   2. Software de IDS Snort
   3. Instalação do Snort
   4. Instalação do BASE
Outros artigos deste autor

SQUID e as autenticações em NTLM e RADIUS

Montando RAID manual no Linux

Proxy transparente com Squid 2.6 e FWBuilder

Instalação do Apache, MySQL e PHP

Ligando e abrindo somente uma aplicação no Linux

Leitura recomendada

Esqueça tudo e venha para o Linux!

LAMP no Debian 8 (Apache 2, PHP 5 e MariaDB)

Diário de um SysAdmin 2 - Truques | Macetes | Atalhos & Comandos

Guia Introdutório do Linux

sidux Hipnos XFCE

  
Comentários
[1] Comentário enviado por y2h4ck em 09/05/2007 - 10:36h

Achei uma falha de segurança no seu artigo :)

Database Name: snort
Database Host: localhost
Database Port: deixe em branco!
Database User Name: root
Database Password: senhaMysql

Criem um usuário 'snort' por exemplo para ter acesso somente à database que o snort vai utilizar, assim evita-se problemas de segurança com o MySQL é a interface do Snort :)


Abraços.

[2] Comentário enviado por evertongodoi em 09/05/2007 - 10:46h

Opa certeza, realmente o correto é ser feito com o user snort ou qual o usaurio estiver afim de fazer, eu coloquei o user root mesmo pois considerei que o snort iria trabalhar em um server sozinho na rede mas o correto realmente é utilizar um usuario diferente, mas para fazer isso é bem simples para o pessoal aqui da comunidade que nao sabe abaixo segue uma forma de ser feito:

1. Criar as base de dados no MySQL
# mysql -u root -p
mysql> create database snort;

2. Vamos criar um usuário/senha para o snort no banco:
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR [email protected]=PASSWORD('senhaSnortMysql');
mysql> exit

[3] Comentário enviado por osky_cg.w em 09/05/2007 - 19:55h

Obrigado evertongodoi pelo ótimo artigo e também obrigado a y2h4ck por acrescentar.. é isso []s

[4] Comentário enviado por dailson em 15/05/2007 - 16:30h

Parabéns Pelo Artigo e Parabéns ao y2h4ck

[5] Comentário enviado por aroldobossoni em 08/07/2009 - 16:37h

Minha duvida é sobre o desempenho.

Tenho um K6 II 500 com 512 de RAM que atualmente só roda o um firewall iptables e gostaria de adicionar o snort nela também. Porem estou com receio da maquina ñ aguentar o iptables, snort, mysql e o BASE na mesma maquina

Até pensei de rodar o MySQL em um outro servidor esse outro servidor é um WIN 2003.

O que vc me aconselha nessa situação?

[6] Comentário enviado por alexsandroe em 06/06/2012 - 00:43h

Minha dúvida é a seguinte, realizei todos os passos com sucesso, porém,quando tento forçar uma conexão com ssh por exemplo,o serviço não realiza nenhum tipo de alerta, caso possa me ajudar a encontrar aonde estou falhando, agradeço.

Parabéns pelo Tópico, excelente.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts