SDI (IDS) com o SNORT, MySQL, PHP e BASE em 15 minutos

sophosnet

Veja como montar um SDI (IDS) para monitorar seu ambiente em apenas 15 minutos.

[ Hits: 72.413 ]

Por: Silvio do Monte [SoPhoS ] em 01/11/2007

0 0

Denuncie Favoritos Indicar Impressora

Preparando, instalando e configurando o Snort

Comece a contar os 15 minutos...

Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).

Instalação do PCRE pelos fontes. Baixar PCRE em:

http://www.pcre.org/

# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install

Instalação e configuração do snort:

Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).

# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install

Vamos criar o grupo snort para o sistema:

# groupadd snort

Agora criaremos o usuário snort e adicionamos ele ao grupo criado:

# useradd -g snort snort

Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:

# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort

Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:

# mv /etc/installsnort/etc /etc/snort

Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.

OBS.: RULES podem ser baixadas em www.bleedingsnort.com.

Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:

var HOME_NET 10.1.1.0/24 # Aqui configuramos nossa rede interna

var EXTERNAL_NET !$HOME_NET # Aqui definimos que tudo que não for rede interna é externa

var RULE_PATH /etc/snort/rules # Caminho das rules

output database: log, mysql, user=snort password=snort dbname=snort host=localhost # Configuração do MySQL

Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.

include $RULE_PATH/ # Habilite apenas as que irá usar

Página anterior Próxima página

Páginas do artigo

   1. Introdução e conselho
   2. Preparando, instalando e configurando o Snort
   3. Configurando o MySQL
   4. Instalação do BASE e ADODB
   5. Gerando gráficos

Outros artigos deste autor

Servidor IM interno em 5 minutos (jabber)

Leitura recomendada

PortSentry: Melhorando a segurança do seu Linux

Syslog-NG - Configurando um servidor de logs

Como fazer: chroot SSH (SSH mais seguro)

Varredura bruta com NMAP

Prevenção e rastreamento de um ataque

Comentários

[1] Comentário enviado por Tjdestroyer em 01/11/2007 - 12:00h

Ótimo artigo, parabéns...

0 0

[2] Comentário enviado por willian.firmino em 01/11/2007 - 12:10h

cara o artigo ficou bom, mas eu gostaria de saber se não é possivel utilizar as versões mais atuais como o mysql 5, php 5.2.x e apache 2.2.x ou o snort e os outros softwares não são compativeis

0 0

[3] Comentário enviado por sophosnet em 05/11/2007 - 18:14h

Claro que sim... acredito que não havera problemas...
SøPhøS

0 0

[4] Comentário enviado por removido em 05/01/2008 - 10:06h

OPa, beleza?
Meu lider, gostaria de implantar o snort no server da net aqui na empresa em que eu trabalho, a pergunta seria, se é necessario o mysql para usar o snort ?

0 0

[5] Comentário enviado por sophosnet em 07/01/2008 - 10:21h

Falae... blzs?

veja só, o uso do mysql e para melhor armazenar e trabalhar os logs do
snort, que dependendo da implementacao podem ser grandes... o snort pode armazenar seus logs em arquivos que podemm ser configurados no seu .conf

sugiro vc utilizar com o mysql... por qual m,otivo vc n quer utilizar?

fallow

0 0

[6] Comentário enviado por danielgranda em 23/11/2008 - 17:25h

Estou com probelmas, no consigo continuar dessa parte.
http://ip_do_servidor/base

vamos clicar em "Setup Page":

No consigo acessar o Serup Page, estou usando o Ubuntu desktop 8.04 numa mquina virtual, e no consigo saber o IP do servidor, j entrei no ifconfig e peguei o ip q aparece, mais mesmo assim nao acessa.... Preciso conseguir estou utilizando o base no meu projeto de conclusao de curso..

Espero uma resposta. Obrigado...

0 0

[7] Comentário enviado por sophosnet em 23/09/2009 - 14:51h

verifique se os serviços foram iniciados (mysqld e httpd).

abs,
SoPhoS

0 0

[8] Comentário enviado por removido em 17/10/2009 - 09:25h

Toda a rede precisa de um SDI (Sistemas de detecção de intrusão), hoje em dia Segurança e Prioridade;

0 0

[9] Comentário enviado por gedex em 12/03/2012 - 19:35h

boa noite,

Cara você pode me dar uma ajuda?

Seguinte instalei o snort e o banco e php e tudo mais, ta funcionando certinho

quando vou acessa a BASE ela me mostra apenas a estrutura em texto e não a parte gráfica como no seu, poderia me dar uma ajuda?

Utilizei tudo mais recente incluindo o snort

Grato!!

0 0

[10] Comentário enviado por gedex em 12/03/2012 - 19:35h

To utilizando o CentOS

0 0

[11] Comentário enviado por sophosnet em 13/03/2012 - 07:14h

Gedex,

Basta vc seguir a pagina 5 deste mesmo artigo, ele fala sobre a geração de gráficos.

Abs

Silvio do Monte

0 0