Snort + MySQL + Guardian - Instalação e configuração

rick_G

Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.

[ Hits: 46.840 ]

Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com

2 0

Denuncie Favoritos Indicar Impressora

Guardian

Primeiro baixaremos o Guardian:

# cd /opt
# wget -cv http://www.chaotic.org/guardian/guardian-1.7.tar.gz

Agora iremos descompactar:

# tar -xvzf guardian-1.7.tar.gz
# cd guardian-1.7

Editar o arquivo "guardian.conf":

# pico guardian.conf

Informar o IP do servidor na linha HostIpAddr:

HostIpAddr 192.168.0.1

Informe a interface na linha Interface:

Interface eth0

Na linha "AlertFile", informe o caminho do arquivo "alert":

AlertFile /var/log/snort/alert

Salve o arquivo e copie para o /etc/:

# cp guardian.conf /etc/

Crie o arquivo /etc/guardian.ignore e nele informe os IPs que serão ignorados pelo Guardian. No caso, pode colocar o IP do servidor:

# pico /etc/guardian.ignore

192.168.0.1

Copiaremos os scripts de bloqueio e desbloqueio:

# cd scripts
# cp iptables_block.sh /sbin/guardian_block.sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh

Caso seu sistema esteja em português, edite o arquivo "guardian.pl":

# cd /opt/guardian-1.7
# pico guardian.pl

Procure pela linha que contém "inet addr" (linha 320) e mude para:

inet end

Salve o arquivo e copie para o /sbin/:

# cp guardian.pl /sbin

Crie o arquivo de log do Guardian:

# touch /var/log/guardian.log

Criaremos o script para o Guardian ser executado automaticamente durante o boot:

# pico /etc/init.d/guardian

#!/bin/bash

test -f /sbin/guardian.pl || exit 0
case "$1" in
    start)
          guardian.pl -c /etc/guardian.conf
          ;;
    stop)
          kill -9 $(pgrep guardian.pl)
          ;;
    *)
          echo "Opção invalida. Use start ou stop."
          exit 2
          ;;
esac
exit 0

Dê permissão de execução para o script:

# chmod 755 /etc/init.d/guardian

Agora pode iniciar o Guardian com o comando:

# /etc/init.d/guardian start

E parar com o:

# /etc/init.d/guardian stop

Habilite o Guardian para ser executado durante o boot com o assistente rcconf:

# aptitude install rcconf
# rcconf

Marque a opção do Guardian e dê OK.

Conclusão

Agora é só fazer os testes e ver se está tudo OK. O Guardian está bloqueando ataques, você pode usar o mesmo teste antes de executar o Nmap como mostrado acima e ver se o Guardian vai bloquear o IP do atacante.

Pessoal, é isso aí. Espero que tenham gostado do post. Adiante postarei um artigo de instalação e configuração do Snort com o Barnyard2 mais o Guardian e suporte ao MySQL.

Até a próxima.

Artigo também publicado em: Guia do TI: Instalando e Configurando Snort-Mysql + Guardian

Página anterior

Páginas do artigo

   1. Introdução
   2. Snort
   3. Guardian

Outros artigos deste autor

Redmine 2.1.4 no Debian Squeeze - Instalação e configuração

Instalando FreeNAS 8.3.0 e criando Storage iSCSI

Servidor proxy com Squid - Instalação e configuração

Entendendo o ataque ARP spoofing + SSLStrip

Samba PDC com Debian Squeeze

Leitura recomendada

Arpwatch - Detecte em sua rede ataques de Arp Spoofing/Arp Poisoning

Procurando rootkits no seu sistema

Uma introdução ao Linux-PAM

Bind: Explorando e evitando falhas

Nikto - Tutorial básico e avançado

Comentários

[1] Comentário enviado por danniel-lara em 07/02/2013 - 15:18h

Parabéns pelo Artigo

0 0

[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h

Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!

0 0

[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h

Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.

0 0

[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h

Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil

Nmap scan report for 192.168.0.8

Host is up (0.0064s latency).

All 1000 scanned ports on 192.168.0.8 are closed

MAC Address: 42:61:83:D1:6A:10 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds

Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.

0 0

[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h

Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.

0 0

[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h

cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido

0 0