Snort + MySQL + Guardian - Instalação e configuração
Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.
[ Hits: 46.522 ]
Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com
Introdução
Pessoal, aqui aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian. Mas antes de colocar a mão na massa, vamos ver o que é esse tal de Snort e para que serve.
O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.
O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.
O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:
Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)
Bem, vamos ao que interessa. Mão na massa!
# aptitude install mysql-server
Depois de instalar, iremos criar o usuário "snort":
# mysql -u root -p
Entre com a senha de root que você forneceu durante a instalação.
mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;
Agora entre no MySQL usando o usuário que acabamos de criar:
# mysql -u snort -p
Informe a senha que utilizou para criar o usuário. Verifique as bases:
mysql> show databases;
Crie a base Snort no banco:
mysql> create database snort;
Saia:
mysql> quit
O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.
O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.
O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:
- Falso-negativo → É quando um pacote passa sem ser notificado pelo IDS , o IDS pensa que o pacote é fluxo normal. Em minha opinião, pior que os falsos-positivos.
- Falso-positivo → É quando o pacote é notificado como intrusivo, mas na verdade, é somente um falso alerta, alarme falso. O grande problema de muito falso positivo é a ferramenta perder a credibilidade, é a velha história do alarme do carro que dispara muito, e quando realmente for um furto, você não vai acreditar que estão levando seu carro.
Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)
Bem, vamos ao que interessa. Mão na massa!
MySQL
Primeiramente, iremos instalar e configurar nosso banco de dados MySQL:# aptitude install mysql-server
Depois de instalar, iremos criar o usuário "snort":
# mysql -u root -p
Entre com a senha de root que você forneceu durante a instalação.
mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;
Agora entre no MySQL usando o usuário que acabamos de criar:
# mysql -u snort -p
Informe a senha que utilizou para criar o usuário. Verifique as bases:
mysql> show databases;
Crie a base Snort no banco:
mysql> create database snort;
Saia:
mysql> quit
Páginas do artigo
1. Introdução2. Snort
3. Guardian
Outros artigos deste autor
Redmine 2.1.4 no Debian Squeeze - Instalação e configuração
Entendendo o ataque ARP spoofing + SSLStrip
storage FreeNas 9.2.1.6 - Instalação e configuração
Leitura recomendada
Bloqueio de repetidas tentativas de login ao seu Linux
PHLAK :: [P]rofessional [H]acker's [L]inux [A]ssault [K]it
Tripwire - Checando a integridade do sistema
Jails em SSH: Montando sistema de Shell Seguro
Comentários
[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Descritores de Arquivos e Swappiness
Dicas
Solução rápida para o problema do Network Manager conectar mas não navegar
Como instalar no Linux Jogos da Steam só para Windows
Instalando o Team Viewer no Debian Trixie - problema no Policykit
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 68.148 pts -
Fábio Berbert de Paula
2° lugar - 44.889 pts -
Buckminster
3° lugar - 21.799 pts -
Mauricio Ferrari
4° lugar - 15.186 pts -
Alberto Federman Neto.
5° lugar - 12.667 pts -
Diego Mendes Rodrigues
6° lugar - 12.034 pts -
Daniel Lara Souza
7° lugar - 11.379 pts -
edps
8° lugar - 11.292 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.868 pts -
Andre (pinduvoz)
10° lugar - 9.473 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
