SDI (IDS) com o SNORT, MySQL, PHP e BASE em 15 minutos
Veja como montar um SDI (IDS) para monitorar seu ambiente em apenas 15 minutos.
[ Hits: 73.927 ]
Por: Silvio do Monte [SoPhoS ] em 01/11/2007
Preparando, instalando e configurando o Snort
Comece a contar os 15 minutos...
Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).
Instalação do PCRE pelos fontes. Baixar PCRE em:
# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install
Instalação e configuração do snort:
Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).
# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install
Vamos criar o grupo snort para o sistema:
# groupadd snort
Agora criaremos o usuário snort e adicionamos ele ao grupo criado:
# useradd -g snort snort
Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:
# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort
Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:
# mv /etc/installsnort/etc /etc/snort
Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.
OBS.: RULES podem ser baixadas em www.bleedingsnort.com.
Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:
Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.
Criar diretório /etc/installsnort (este diretório deve conter todos os binários citados no decorrer do texto).
Instalação do PCRE pelos fontes. Baixar PCRE em:
# tar -xvzf pcre-7.1.tar.gz
# cd pcre-7.1
# ./configure
# make
# make install
Instalação e configuração do snort:
Baixar snort em www.snort.org/dll, versão utilizada (snort-2.6.1.4).
# tar -xvzf snort-2.6.1.4.tar.gz
# cd snort-2.6.1.4
# ./configure --with-mysql (pois iremos utilizar o MySQL)
# make
# make install
Vamos criar o grupo snort para o sistema:
# groupadd snort
Agora criaremos o usuário snort e adicionamos ele ao grupo criado:
# useradd -g snort snort
Vamos criar os diretórios de instalação onde ficarão os arquivos de configuração:
# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort
Temos que mover os arquivos de configuração criados após a instalação para o diretório /etc/snort:
# mv /etc/installsnort/etc /etc/snort
Agora copiamos as rules que serão utilizadas pelo snort para a pasta especifica, localizada em /etc/snort/rules.
OBS.: RULES podem ser baixadas em www.bleedingsnort.com.
Editando nosso snort.conf localizado em /etc/snort. Procure as linhas abaixo e configure para sua realidade:
var HOME_NET 10.1.1.0/24 # Aqui configuramos nossa rede interna
var EXTERNAL_NET !$HOME_NET # Aqui definimos que tudo que não for rede interna é externa
var RULE_PATH /etc/snort/rules # Caminho das rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost # Configuração do MySQL
var EXTERNAL_NET !$HOME_NET # Aqui definimos que tudo que não for rede interna é externa
var RULE_PATH /etc/snort/rules # Caminho das rules
output database: log, mysql, user=snort password=snort dbname=snort host=localhost # Configuração do MySQL
Localize as linhas que iniciam com o texto abaixo, elas habilitarão quais assinaturas você vai utilizar.
include $RULE_PATH/ # Habilite apenas as que irá usar
Páginas do artigo
1. Introdução e conselho2. Preparando, instalando e configurando o Snort
3. Configurando o MySQL
4. Instalação do BASE e ADODB
5. Gerando gráficos
Outros artigos deste autor
Servidor IM interno em 5 minutos (jabber)
Leitura recomendada
Race condition - vulnerabilidades em suids
Recon and Scan with Metasploit
SSH Connection With non-NIST Russian Cipher and Distro for Military Use
Segurança da Informação na Internet
Comentários
[2] Comentário enviado por willian.firmino em 01/11/2007 - 12:10h
cara o artigo ficou bom, mas eu gostaria de saber se não é possivel utilizar as versões mais atuais como o mysql 5, php 5.2.x e apache 2.2.x ou o snort e os outros softwares não são compativeis
cara o artigo ficou bom, mas eu gostaria de saber se não é possivel utilizar as versões mais atuais como o mysql 5, php 5.2.x e apache 2.2.x ou o snort e os outros softwares não são compativeis
[3] Comentário enviado por sophosnet em 05/11/2007 - 18:14h
Claro que sim... acredito que não havera problemas...
SøPhøS
Claro que sim... acredito que não havera problemas...
SøPhøS
[4] Comentário enviado por removido em 05/01/2008 - 10:06h
OPa, beleza?
Meu lider, gostaria de implantar o snort no server da net aqui na empresa em que eu trabalho, a pergunta seria, se é necessario o mysql para usar o snort ?
OPa, beleza?
Meu lider, gostaria de implantar o snort no server da net aqui na empresa em que eu trabalho, a pergunta seria, se é necessario o mysql para usar o snort ?
[5] Comentário enviado por sophosnet em 07/01/2008 - 10:21h
Falae... blzs?
veja só, o uso do mysql e para melhor armazenar e trabalhar os logs do
snort, que dependendo da implementacao podem ser grandes... o snort pode armazenar seus logs em arquivos que podemm ser configurados no seu .conf
sugiro vc utilizar com o mysql... por qual m,otivo vc n quer utilizar?
fallow
Falae... blzs?
veja só, o uso do mysql e para melhor armazenar e trabalhar os logs do
snort, que dependendo da implementacao podem ser grandes... o snort pode armazenar seus logs em arquivos que podemm ser configurados no seu .conf
sugiro vc utilizar com o mysql... por qual m,otivo vc n quer utilizar?
fallow
[6] Comentário enviado por danielgranda em 23/11/2008 - 17:25h
Estou com probelmas, no consigo continuar dessa parte.
http://ip_do_servidor/base
vamos clicar em "Setup Page":
No consigo acessar o Serup Page, estou usando o Ubuntu desktop 8.04 numa mquina virtual, e no consigo saber o IP do servidor, j entrei no ifconfig e peguei o ip q aparece, mais mesmo assim nao acessa.... Preciso conseguir estou utilizando o base no meu projeto de conclusao de curso..
Espero uma resposta. Obrigado...
Estou com probelmas, no consigo continuar dessa parte.
http://ip_do_servidor/base
vamos clicar em "Setup Page":
No consigo acessar o Serup Page, estou usando o Ubuntu desktop 8.04 numa mquina virtual, e no consigo saber o IP do servidor, j entrei no ifconfig e peguei o ip q aparece, mais mesmo assim nao acessa.... Preciso conseguir estou utilizando o base no meu projeto de conclusao de curso..
Espero uma resposta. Obrigado...
[7] Comentário enviado por sophosnet em 23/09/2009 - 14:51h
verifique se os serviços foram iniciados (mysqld e httpd).
abs,
SoPhoS
verifique se os serviços foram iniciados (mysqld e httpd).
abs,
SoPhoS
[8] Comentário enviado por removido em 17/10/2009 - 09:25h
Toda a rede precisa de um SDI (Sistemas de detecção de intrusão), hoje em dia Segurança e Prioridade;
Toda a rede precisa de um SDI (Sistemas de detecção de intrusão), hoje em dia Segurança e Prioridade;
[9] Comentário enviado por gedex em 12/03/2012 - 19:35h
boa noite,
Cara você pode me dar uma ajuda?
Seguinte instalei o snort e o banco e php e tudo mais, ta funcionando certinho
quando vou acessa a BASE ela me mostra apenas a estrutura em texto e não a parte gráfica como no seu, poderia me dar uma ajuda?
Utilizei tudo mais recente incluindo o snort
Grato!!
boa noite,
Cara você pode me dar uma ajuda?
Seguinte instalei o snort e o banco e php e tudo mais, ta funcionando certinho
quando vou acessa a BASE ela me mostra apenas a estrutura em texto e não a parte gráfica como no seu, poderia me dar uma ajuda?
Utilizei tudo mais recente incluindo o snort
Grato!!
[11] Comentário enviado por sophosnet em 13/03/2012 - 07:14h
Gedex,
Basta vc seguir a pagina 5 deste mesmo artigo, ele fala sobre a geração de gráficos.
Abs
Silvio do Monte
Gedex,
Basta vc seguir a pagina 5 deste mesmo artigo, ele fala sobre a geração de gráficos.
Abs
Silvio do Monte
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Modo Simples de Baixar e Usar o bash-completion
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
Dicas
Como implementar Raid (0, 1, 5, 6, 10 e 50)
fusermount3 no Ubuntu 25.10 - mantenha o perfil do AppArmor
[Resolvido] dlopen(): error loading libfuse.so.2 AppImages require FUSE to run.
Criação de diretórios e aplicação de restrições de acesso no Linux
Tópicos
diferença entre o Tor baixado pelo Gerenciador de Aplicativos e o Tor ... (9)
Monte o Google Drive como uma pasta remota no Linux [RESOLVIDO] (3)
Compartilhar ZEBRA ZD220 na rede (1)
Debian Stable travado em atualizações: dist-upgrade não resolve [RESOL... (12)
Top 10 do mês
-
Xerxes
1° lugar - 148.656 pts -
Fábio Berbert de Paula
2° lugar - 73.788 pts -
Mauricio Ferrari
3° lugar - 23.229 pts -
Alberto Federman Neto.
4° lugar - 21.351 pts -
Buckminster
5° lugar - 20.429 pts -
edps
6° lugar - 20.534 pts -
Daniel Lara Souza
7° lugar - 20.223 pts -
Andre (pinduvoz)
8° lugar - 19.767 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 17.783 pts -
Diego Mendes Rodrigues
10° lugar - 15.049 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
