SDI (IDS) com o SNORT, MySQL, PHP e BASE em 15 minutos
Veja como montar um SDI (IDS) para monitorar seu ambiente em apenas 15 minutos.
[ Hits: 74.135 ]
Por: Silvio do Monte [SoPhoS ] em 01/11/2007
Preparando, instalando e configurando o Snort
Comece a contar os 15 minutos...
Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).
Instalação do PCRE pelos fontes. Baixar PCRE em:
# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install
Instalação e configuração do snort:
Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).
# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install
Vamos criar o grupo snort para o sistema:
# groupadd snort
Agora criaremos o usuário snort e adicionamos ele ao grupo criado:
# useradd -g snort snort
Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:
# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort
Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:
# mv /etc/installsnort/etc /etc/snort
Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.
OBS.: RULES podem ser baixadas em www.bleedingsnort.com.
Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:
Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.
Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).
Instalação do PCRE pelos fontes. Baixar PCRE em:
# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install
Instalação e configuração do snort:
Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).
# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install
Vamos criar o grupo snort para o sistema:
# groupadd snort
Agora criaremos o usuário snort e adicionamos ele ao grupo criado:
# useradd -g snort snort
Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:
# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort
Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:
# mv /etc/installsnort/etc /etc/snort
Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.
OBS.: RULES podem ser baixadas em www.bleedingsnort.com.
Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:
var HOME_NET 10.1.1.0/24 # Aqui configuramos nossa rede interna
var EXTERNAL_NET !$HOME_NET # Aqui definimos que tudo que não for rede interna é externa
var RULE_PATH /etc/snort/rules # Caminho das rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost # Configuração do MySQL
var EXTERNAL_NET !$HOME_NET # Aqui definimos que tudo que não for rede interna é externa
var RULE_PATH /etc/snort/rules # Caminho das rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost # Configuração do MySQL
Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.
include $RULE_PATH/ # Habilite apenas as que irá usar
Páginas do artigo
1. Introdução e conselho2. Preparando, instalando e configurando o Snort
3. Configurando o MySQL
4. Instalação do BASE e ADODB
5. Gerando gráficos
Outros artigos deste autor
Servidor IM interno em 5 minutos (jabber)
Leitura recomendada
Impedindo o compartilhamento de conexão
Squid 3 - Instalação no Debian/Ubuntu
Código Aberto já não é uma questão de gosto
TOR: A Internet sem rastreabilidade
Desligamento automático seletivo com apcupsd
Comentários
[2] Comentário enviado por willian.firmino em 01/11/2007 - 12:10h
cara o artigo ficou bom, mas eu gostaria de saber se não é possivel utilizar as versões mais atuais como o mysql 5, php 5.2.x e apache 2.2.x ou o snort e os outros softwares não são compativeis
cara o artigo ficou bom, mas eu gostaria de saber se não é possivel utilizar as versões mais atuais como o mysql 5, php 5.2.x e apache 2.2.x ou o snort e os outros softwares não são compativeis
[3] Comentário enviado por sophosnet em 05/11/2007 - 18:14h
Claro que sim... acredito que não havera problemas...
SøPhøS
Claro que sim... acredito que não havera problemas...
SøPhøS
[4] Comentário enviado por removido em 05/01/2008 - 10:06h
OPa, beleza?
Meu lider, gostaria de implantar o snort no server da net aqui na empresa em que eu trabalho, a pergunta seria, se é necessario o mysql para usar o snort ?
OPa, beleza?
Meu lider, gostaria de implantar o snort no server da net aqui na empresa em que eu trabalho, a pergunta seria, se é necessario o mysql para usar o snort ?
[5] Comentário enviado por sophosnet em 07/01/2008 - 10:21h
Falae... blzs?
veja só, o uso do mysql e para melhor armazenar e trabalhar os logs do
snort, que dependendo da implementacao podem ser grandes... o snort pode armazenar seus logs em arquivos que podemm ser configurados no seu .conf
sugiro vc utilizar com o mysql... por qual m,otivo vc n quer utilizar?
fallow
Falae... blzs?
veja só, o uso do mysql e para melhor armazenar e trabalhar os logs do
snort, que dependendo da implementacao podem ser grandes... o snort pode armazenar seus logs em arquivos que podemm ser configurados no seu .conf
sugiro vc utilizar com o mysql... por qual m,otivo vc n quer utilizar?
fallow
[6] Comentário enviado por danielgranda em 23/11/2008 - 17:25h
Estou com probelmas, no consigo continuar dessa parte.
http://ip_do_servidor/base
vamos clicar em "Setup Page":
No consigo acessar o Serup Page, estou usando o Ubuntu desktop 8.04 numa mquina virtual, e no consigo saber o IP do servidor, j entrei no ifconfig e peguei o ip q aparece, mais mesmo assim nao acessa.... Preciso conseguir estou utilizando o base no meu projeto de conclusao de curso..
Espero uma resposta. Obrigado...
Estou com probelmas, no consigo continuar dessa parte.
http://ip_do_servidor/base
vamos clicar em "Setup Page":
No consigo acessar o Serup Page, estou usando o Ubuntu desktop 8.04 numa mquina virtual, e no consigo saber o IP do servidor, j entrei no ifconfig e peguei o ip q aparece, mais mesmo assim nao acessa.... Preciso conseguir estou utilizando o base no meu projeto de conclusao de curso..
Espero uma resposta. Obrigado...
[7] Comentário enviado por sophosnet em 23/09/2009 - 14:51h
verifique se os serviços foram iniciados (mysqld e httpd).
abs,
SoPhoS
verifique se os serviços foram iniciados (mysqld e httpd).
abs,
SoPhoS
[8] Comentário enviado por removido em 17/10/2009 - 09:25h
Toda a rede precisa de um SDI (Sistemas de detecção de intrusão), hoje em dia Segurança e Prioridade;
Toda a rede precisa de um SDI (Sistemas de detecção de intrusão), hoje em dia Segurança e Prioridade;
[9] Comentário enviado por gedex em 12/03/2012 - 19:35h
boa noite,
Cara você pode me dar uma ajuda?
Seguinte instalei o snort e o banco e php e tudo mais, ta funcionando certinho
quando vou acessa a BASE ela me mostra apenas a estrutura em texto e não a parte gráfica como no seu, poderia me dar uma ajuda?
Utilizei tudo mais recente incluindo o snort
Grato!!
boa noite,
Cara você pode me dar uma ajuda?
Seguinte instalei o snort e o banco e php e tudo mais, ta funcionando certinho
quando vou acessa a BASE ela me mostra apenas a estrutura em texto e não a parte gráfica como no seu, poderia me dar uma ajuda?
Utilizei tudo mais recente incluindo o snort
Grato!!
[11] Comentário enviado por sophosnet em 13/03/2012 - 07:14h
Gedex,
Basta vc seguir a pagina 5 deste mesmo artigo, ele fala sobre a geração de gráficos.
Abs
Silvio do Monte
Gedex,
Basta vc seguir a pagina 5 deste mesmo artigo, ele fala sobre a geração de gráficos.
Abs
Silvio do Monte
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Papagaiando o XFCE com temas e recursos
WhatsApp com Chamadas no Linux via Waydroid
XFCE - quase um Gnome ou Plasma mas muito mais leve
LXQT - funcional para máquinas pererecas e usuários menos exigentes
Dicas
Como cortar as partes de um vídeo com passagens de áudio em branco
Tiling automático no KDE Plasma
SNMP Scan no OCS Inventory só funciona com HTTPS corretamente configurado
Tópicos
Links importantes de usuários do vol (4)
GOG confirma suporte oficial ao sistema Linux: "o trabalho começo... (2)
Para os fãs de DOOM, um vídeo do Romero (com dublagem em pt-br disponí... (2)
Top 10 do mês
-
Xerxes
1° lugar - 124.267 pts -
Fábio Berbert de Paula
2° lugar - 57.966 pts -
Buckminster
3° lugar - 26.881 pts -
Alberto Federman Neto.
4° lugar - 19.136 pts -
Mauricio Ferrari (LinuxProativo)
5° lugar - 19.519 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 18.636 pts -
Sidnei Serra
7° lugar - 18.472 pts -
Daniel Lara Souza
8° lugar - 18.431 pts -
edps
9° lugar - 17.788 pts -
Andre (pinduvoz)
10° lugar - 16.521 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
