Snort + MySQL + Guardian - Instalação e configuração

Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.

[ Hits: 46.244 ]

Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com


Snort



Agora é hora de instalar o Snort:

# aptitude install snort-mysql

Durante a instalação, informe a faixa de rede e a máscara que sua rede usa. Depois você será questionado se deseja que seja criado uma base de dados para gravar os logs, selecione "Sim" e depois dê OK.

Agora acesse o diretório da documentação do Snort que contém as tabelas:

# cd /usr/share/doc/snort-mysql

Use o arquivo "create_mysql" para criar as tabelas na base Snort do banco:

# zcat create_mysql.gz | mysql -u snort -h localhost -p snort

Informe a senha do usuário "snort". Depois acesse a base Snort do banco e verifique se as tabelas foram criadas com sucesso:

# mysql -u snort -p

(Entre com a senha do usuário snort)

mysql> show databases;
mysql> use snort;
mysql> show tables;
mysql> status;
mysql> quit;

Vá ate o diretório onde estão os arquivos de configuração do Snort:

# cd /etc/snort

Renomeie o arquivo "snort.conf":

# mv snort.conf snort.conf.orig

Crie uma cópia do arquivo que acabamos de renomear sem os comentários, para o arquivo ficar menor e mais legível:

# cat snort.conf.orig | grep -v ^# | grep . > snort.conf

Agora vamos editar o arquivo "snort.conf":

# pico snort.conf

Na primeira linha (var HOME_NET any) remova o "any" e digite a faixa de rede/máscara:

var HOME_NET 192.168.0.0/24

Agora, quase no final do arquivo, abaixo da linha (output log_tcpdump: tcpdump.log), digite o seguinte:

output database: log, mysql, user=snort password=123456 dbname=snort host=localhost
output alert_full: /var/log/snort/alert

Entendendo: Na primeira linha informamos o nome de usuário da banco, a senha, o nome da base e o host do banco. No exemplo estou usando localhost, mas é muito importante você colocar o banco de dados em outro servidor. Já na segunda linha, informamos o Snort para gerar os logs no arquivo alert.

Agora vá até o arquivo "snort.debian.conf" e dê uma olhada na linha (DEBIAN_SNORT_INTERFACE="eth0"), mude-a caso deseje que o Snort escute em outra interface.

Remova o arquivo de pendência de configuração do banco de dados:

# rm db-pending-config

Entre no arquivo /etc/snort/database.conf e comente a seguinte linha:

### output database: log, mysql,

Depois disso, pode iniciar o Snort:

# /etc/init.d/snort start

Faça um teste, fique monitorando o arquivo de log do Snort:

# tail -f /var/log/snort/alert

E em outra máquina, use o Nmap para escanear o host do Snort:

# nmap -sX 192.168.0.1

Obs.: Esse é o IP do Snort no meu laboratório.

Fique acompanhando o arquivo "alert" e veja o que acontece.

Pronto. Até aqui já temos o Snort pronto para gerar os alertas e gravar no banco de dados, mas ele ainda não é capaz de bloquear nada, pois não está com o IPS Guardian. Vamos fazer isso agora.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Snort
   3. Guardian
Outros artigos deste autor

storage FreeNas 9.2.1.6 - Instalação e configuração

Entendendo o ataque ARP spoofing + SSLStrip

Syslog-NG - Configurando um servidor de logs

Monitoramento com Zabbix 2.0

Redmine 2.1.4 no Debian Squeeze - Instalação e configuração

Leitura recomendada

Teste de Intrusão com Metasploit

Análise de Malware em Forense Computacional

Importar Chave GPG

Explorando celulares Android via Web com airbase-ng

PuTTY - Estabelecendo Chave Secreta com OpenSSH

  
Comentários
[1] Comentário enviado por danniel-lara em 07/02/2013 - 15:18h

Parabéns pelo Artigo

[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h

Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!

[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h

Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.

[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h

Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil

Nmap scan report for 192.168.0.8

Host is up (0.0064s latency).

All 1000 scanned ports on 192.168.0.8 are closed

MAC Address: 42:61:83:D1:6A:10 (Unknown)



Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds

Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.


[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h

Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.

[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h


cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts