Snort + MySQL + Guardian - Instalação e configuração

Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.

[ Hits: 41.451 ]

Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com


Introdução



Pessoal, aqui aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian. Mas antes de colocar a mão na massa, vamos ver o que é esse tal de Snort e para que serve.

O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.

O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.

O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:
  • Falso-negativo → É quando um pacote passa sem ser notificado pelo IDS , o IDS pensa que o pacote é fluxo normal. Em minha opinião, pior que os falsos-positivos.
  • Falso-positivo → É quando o pacote é notificado como intrusivo, mas na verdade, é somente um falso alerta, alarme falso. O grande problema de muito falso positivo é a ferramenta perder a credibilidade, é a velha história do alarme do carro que dispara muito, e quando realmente for um furto, você não vai acreditar que estão levando seu carro.

Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)

Bem, vamos ao que interessa. Mão na massa!

MySQL

Primeiramente, iremos instalar e configurar nosso banco de dados MySQL:

# aptitude install mysql-server

Depois de instalar, iremos criar o usuário "snort":

# mysql -u root -p

Entre com a senha de root que você forneceu durante a instalação.

mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;

Agora entre no MySQL usando o usuário que acabamos de criar:

# mysql -u snort -p

Informe a senha que utilizou para criar o usuário. Verifique as bases:

mysql> show databases;

Crie a base Snort no banco:

mysql> create database snort;

Saia:

mysql> quit

    Próxima página

Páginas do artigo
   1. Introdução
   2. Snort
   3. Guardian
Outros artigos deste autor

Syslog-NG - Configurando um servidor de logs

Servidor proxy com Squid - Instalação e configuração

Redmine 2.1.4 no Debian Squeeze - Instalação e configuração

Samba PDC com Debian Squeeze

Entendendo o ataque ARP spoofing + SSLStrip

Leitura recomendada

Utilizando o Nmap Scripting Engine (NSE)

Gerenciamento de segurança da informação com open source (parte 1)

Engenharia Social - Fios de telefone

Instalando e configurando Nagios no Linux Fedora 8

Bom escudo não teme espada: o módulo pam_cracklib

  
Comentários
[1] Comentário enviado por danniel-lara em 07/02/2013 - 15:18h

Parabéns pelo Artigo

[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h

Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!

[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h

Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.

[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h

Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil

Nmap scan report for 192.168.0.8

Host is up (0.0064s latency).

All 1000 scanned ports on 192.168.0.8 are closed

MAC Address: 42:61:83:D1:6A:10 (Unknown)



Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds

Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.


[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h

Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.

[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h


cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido


Contribuir com comentário