OpenBSD IDS - Solução Snort e BASE

cvs

Por ser um sistema robusto, creio que seja o mais indicado para a implementação de um IDS em sua rede para que possa prover mais segurança e até se sentir mais seguro e detectar aquele mal elemento fazendo graça ou tentando fazer graça antes que consiga. Usaremos o Snort juntamente com o MySQL.

[ Hits: 43.061 ]

Por: Thiago Alves em 14/02/2008 | Blog: http://www.seeufosseopresidente.com.br


Snort - Instalação e configuração



Já o Snort vamos instalar via ports, simples e não muito rápido:

# cd /usr/ports/net/snort
# env FLAVOR="mysql flexresp" make install


Agora pode sentar e esperar, porque vai tempo. Depois de instalado, acesse o site www.snort.org e se cadastre no site e baixe esse arquivo.

### Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release) ###

Que é o arquivo de regras mais atual pra quem é registrado no site, quem tiver $$ e quiser gastar com isso pode estar pagando uma pequena quantia para obter regras mais novas.

Enquanto escrevo esse artigo o arquivo mais atual é o:

http://www.snort.org/pub-bin/.../snortrules-snapshot-CURRENT.tar.gz

RELEASED: 2007-12-17

Depois que terminar o download descompacte pra dentro de /etc/snort.

# tar zxvf snortrules-snapshot-CURRENT.tar.gz -C /etc/snort

Agora crie o diretório dos logs:

# mkdir /var/log/snort
# chown -R _snort._snort /var/log/snort


Vamos configurar sua inicialização automática.

Edite o arquivo rc.conf e adicione a linha:

snort=YES

E depois no arquivo /etc/rc.local as seguintes linhas:

if [ X"${snort}" == X"YES" -a -x /usr/local/bin/snort ]; then
echo -n " snort"; /usr/local/bin/snort -D -d -c /etc/snort/snort.conf -u _snort -g _snort
fi

Agora vamos ao PHP. Mais pra frente vamos terminar a configuração. Primeiro vamos terminar de instalar os software necessários.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. MySQL - Instalação e Configuração
   3. Snort - Instalação e configuração
   4. PHP - Instalação e configuração
   5. Apache - Configurações
   6. Snort - Configurando a Base de dados
   7. BASE - Instalando e configurando
   8. Acessando a interface WEB
Outros artigos deste autor

Instalando o Apache + PHP + MySQL no Slackware

Mozilla Firefox com plugins para Flash e JAVA

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Compilação distribuída usando o distcc

ProFTPD + ClamAV - FTP livre de vírus

Leitura recomendada

Computação Forense - Entendendo uma perícia

Segurança Física (Parte 1)

Debian Squeeze - Instalando VirtualBox com acesso WEB via phpVirtualBox

MaraDNS: Simples - Seguro - Robusto (parte 3)

Traduzindo plugins do OpenVAS/Nessus para português

  
Comentários
[1] Comentário enviado por Cooler_ em 14/02/2008 - 18:14h

Gostei do teu artigo Brother tudo redondinho
soh falto o Proxy e o firewall no caso o packet filter
o PF tem opção para enganar fingerprint aqueles ataques
com nmap ou o probe... para descobrir o OS vide
#cat /etc/pf.os
acho interessante este e outros truques ...(até parece um honeypot)
Parabens pelo artigo

[2] Comentário enviado por exercitobr em 15/02/2008 - 08:53h

Interessante, parabéns pelo artigo.

[3] Comentário enviado por y2h4ck em 15/02/2008 - 14:44h

Tony_baiacu

Pra que proxy ?????? em um IDS ???? WTF ??

:P

[4] Comentário enviado por cvs em 15/02/2008 - 14:58h

A maquina de proxy eu não montei ainda... E o firewall também não. Estou ainda estudando um pouco sobre pf pra ver se consigo fazer algo decente ou pelo menos algo que funcione pra mim aqui... hehehe

Valeu pelos comentários.

[5] Comentário enviado por Cooler_ em 17/02/2008 - 01:22h

y2h4ck
realmente depende se for usar como gateway ou como firewall
como he usado em bancos vai de caso... usa soh com IDs acho que
eu não usaria...
---
depende aqui tenho um phantom server com openbsd current
com uma Atheros+antenna_aquario ela pega uma rede sem wep
com um script em perl depois conecta e ja levanta
o DNS no no-ip e ja levanta o apache+php+mysql+IRCD+SNort+PF


tudo que for com OpenBSD no final sempre fica seguro :)


Contribuir com comentário