Instalação do Snort + BASE no Debian Etch pelos fontes
Este tutorial visa auxiliar as pessoas interessadas em instalar o NIDS Snort com suporte a gravação em banco de dados MySQL e ainda a instalação e configuração do Apache2 com BASE para análise dos dados coletados com GNU/Linux Debian 4.0 Etch.
Parte 6: Snort c/ MySQL + BASE
Configurando Snort para o MySQL:
Agora vamos configurar o Snort para gravar dados no MySQL.
Edite o arquivo de configuração:
# vi /etc/snort/snort.conf
Descomentar a linha: output database: log, mysql, user=snort password='senha da base snort' dbname=snort host=localhost
Reinicie o Snort e verifique registros no banco:
# mysql -u root -p snort -D snort -e "select count(*) from event"
Instalação BASE:
O BASE é uma boa ferramenta que retira dados do MySQL e gera estatísticas e gráficos sobre as ameaças detectadas pelo snort. Claro que, para termos melhores resultados, a configuração adequada do seu snort influencia diretamente nesta análise.
Vamos à instalação:
# cd /usr/local/apache2/htdocs
# tar -zxvf /usr/local/src/base-1.3.6.tar.gz
# mv base-1.3.6/ base
Copie as regras do snort para o subdiretório /signatures do base:
# cp -R /etc/snort/rules/* /usr/local/apache2/htdocs/base/signatures
Instalação adoDB:
Descompactar e mover o diretório descompactado para dentro do diretório do base: mv adoDB /usr/local/apache2/htdocs/base/
# chown -R www-data:www-data base
Acessando via web: http://"ipdoservidor"/base
Se tudo ocorrer bem, o base exibirá um passo-a-passo de configuração. Ele irá pedir parâmetros já definidos anteriormente, tais como configuração de nomes, senhas, banco de dados etc.
Com o BASE configurado, faça seu login e teste.
Agora vamos configurar o Snort para gravar dados no MySQL.
Edite o arquivo de configuração:
# vi /etc/snort/snort.conf
Descomentar a linha: output database: log, mysql, user=snort password='senha da base snort' dbname=snort host=localhost
Reinicie o Snort e verifique registros no banco:
# mysql -u root -p snort -D snort -e "select count(*) from event"
Instalação BASE:
O BASE é uma boa ferramenta que retira dados do MySQL e gera estatísticas e gráficos sobre as ameaças detectadas pelo snort. Claro que, para termos melhores resultados, a configuração adequada do seu snort influencia diretamente nesta análise.
Vamos à instalação:
# cd /usr/local/apache2/htdocs
# tar -zxvf /usr/local/src/base-1.3.6.tar.gz
# mv base-1.3.6/ base
Copie as regras do snort para o subdiretório /signatures do base:
# cp -R /etc/snort/rules/* /usr/local/apache2/htdocs/base/signatures
Instalação adoDB:
Descompactar e mover o diretório descompactado para dentro do diretório do base: mv adoDB /usr/local/apache2/htdocs/base/
# chown -R www-data:www-data base
Acessando via web: http://"ipdoservidor"/base
Se tudo ocorrer bem, o base exibirá um passo-a-passo de configuração. Ele irá pedir parâmetros já definidos anteriormente, tais como configuração de nomes, senhas, banco de dados etc.
Com o BASE configurado, faça seu login e teste.