Automatizando Firewall com IDS Snort e SnortSam
Snort é um sistema de detecção de intrusos (IDS), o qual usa seus sensores e um conjunto de regras para monitorar todo o tráfego da rede e gerar alertas de possíveis ameaças à segurança de seus sistemas. Com a ajuda do plugin SnortSam, será possível automatizar bloqueios de endereços IP em seu firewall.
[ Hits: 44.418 ]
Por: Vinicius Raupp Alves em 23/01/2013
Introdução
Snort é um sistema de detecção de intrusos (IDS), o qual usa seus sensores e um conjunto de regras para monitorar todo o tráfego da rede e gerar alertas de possíveis ameaças à segurança de seus sistemas. Com a ajuda do plugin SnortSam, será possível automatizar bloqueios de endereços IP em seu firewall.
Neste tutorial será mostrado como instalar e configurar o Snort. Como este pacote só gera alertas de ameaças, será necessária a ajuda do plugin SnortSam para recebê-los e executar uma regra de firewall para bloquear o endereço IP do computador mal-intencionado.
Para visualizar os alertas do Snort utilizaremos uma interface amigável de um sistema Web chamado BASE (Basic Analysis and Security Engine), conectada a uma base de dados em MySQL.
Abaixo, o sistema operacional e versões dos pacotes utilizados:
Para proceder a instalação dos pacotes foi utilizado um servidor com duas placas de rede atuando como firewall/roteador, recebendo Internet por uma placa e distribuindo para a rede interna através da outra placa.
Endereços IPs do firewall:
De forma resumida, para utilizar o Snort com o SnortSam, será necessário:
Neste tutorial será mostrado como instalar e configurar o Snort. Como este pacote só gera alertas de ameaças, será necessária a ajuda do plugin SnortSam para recebê-los e executar uma regra de firewall para bloquear o endereço IP do computador mal-intencionado.
Para visualizar os alertas do Snort utilizaremos uma interface amigável de um sistema Web chamado BASE (Basic Analysis and Security Engine), conectada a uma base de dados em MySQL.
Abaixo, o sistema operacional e versões dos pacotes utilizados:
- S.O. → Debian Squeeze 6.0.5
- Snort → 2.9.2.2
- SnortSam → 2.70
- Firewall → IPtables
- BASE → 1.4.5
- MySQL → 5.1
Para proceder a instalação dos pacotes foi utilizado um servidor com duas placas de rede atuando como firewall/roteador, recebendo Internet por uma placa e distribuindo para a rede interna através da outra placa.
Endereços IPs do firewall:
- eth0 = 10.0.0.5 - obtido por DHCP = Internet (WAN)
- eth1 = 192.168.1.1 - IP fixo - Rede interna (LAN)
De forma resumida, para utilizar o Snort com o SnortSam, será necessário:
- Baixar o código fonte do Snort;
- Aplicar patch SnortSam sobre o fonte do Snort;
- Compilar e instalar Snort;
- Baixar código fonte do SnortSam;
- Compilar e instalar SnortSam.
Páginas do artigo
1. Introdução2. Instalação do Snort
3. Instalação do MySQL e BASE
4. Instalação do serviço SnortSam
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Instalação do Layer7 no Debian Etch
Implementando prioridade nos serviços com TOS no Iptables
Port Forward mais completo: caçando o fantasma da rede interna
Configurando o iptables-p2p no Slackware
Comentários
[1] Comentário enviado por danniel-lara em 23/01/2013 - 14:39h
Parabéns pelo Artigo , muito bom mesmo
Parabéns pelo Artigo , muito bom mesmo
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
[3] Comentário enviado por viniciusraupp em 28/01/2013 - 16:23h
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h:
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
Nunca configurei desta maneira mas acredito que funcione, se for testar deixe aqui o resultado pra nós. Valew
[2] Comentário enviado por msantoro em 25/01/2013 - 17:16h:
É possivel fazer isso com o servidor em BRIDGE ?
Abraços e parabens.
Nunca configurei desta maneira mas acredito que funcione, se for testar deixe aqui o resultado pra nós. Valew
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
[5] Comentário enviado por viniciusraupp em 11/02/2013 - 15:25h
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h:
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Olá, me mande a regra que você esta acrescentando o fwsam.
Se você subir o snort sem nenhuma regra, ele sobe normalmente ?
[4] Comentário enviado por phoemur em 11/02/2013 - 15:16h:
Cara, quando eu adiciono o fwsam no fim da regra o snort não consegue mais subir pois dá erro.
No meu /var/log/syslog aparece assim:
Feb 11 15:13:35 serv snort[3333]: FATAL ERROR: /etc/snort/rules/server-apache.rules(1) Unknown rule option: 'fwsam'.
Parece que o Snort não consegue entender a opção fwsam pra mandar o alerta p o snortsam.
Vc tem idéia do que possa estar acontecendo?
Uso Slackware 14.
Agradeço em antecipação.
Olá, me mande a regra que você esta acrescentando o fwsam.
Se você subir o snort sem nenhuma regra, ele sobe normalmente ?
[6] Comentário enviado por phoemur em 11/02/2013 - 15:43h
Cara, já descobri o erro, o patch do snortsam que usei era de uma versão diferente do snort que estava instalado na minha máquina.
Vou recompilar com a versão correta e ver se funciona.
Obrigado pela atenção.
Cara, já descobri o erro, o patch do snortsam que usei era de uma versão diferente do snort que estava instalado na minha máquina.
Vou recompilar com a versão correta e ver se funciona.
Obrigado pela atenção.
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
[8] Comentário enviado por viniciusraupp em 11/04/2013 - 23:58h
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h:
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Você usou o patch com a mesma versão do source do snort ?
[7] Comentário enviado por rogi_cps em 07/04/2013 - 10:02h:
Preciso de ajuda.... estou tentando compilar o SNORT conforme indicado no artigo, mas tenho recebido o seguinte erro ao fazer make.
plugbase.o: In function `RegisterOutputPlugins':
/usr/local/src/snort-2.9.1.2/src/plugbase.c:1472: undefined reference to `AlertFWsamSetup'
collect2: ld returned 1 exit status
make[3]: ** [snort] Erro 1
make[3]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[2]: ** [all-recursive] Erro 1
make[2]: Saindo do diretório `/usr/local/src/snort-2.9.1.2/src'
make[1]: ** [all-recursive] Erro 1
make[1]: Saindo do diretório `/usr/local/src/snort-2.9.1.2'
make: ** [all] Erro 2
Teria alguma idéia do que esta acontecendo?
Distro Debian 6 Squeeze (dentro de VMWARE Worksatation - lab de teste)
Já tentei em CENTOS 6 e Ubuntu 12.10, com o mesmo erro.
Você usou o patch com a mesma versão do source do snort ?
[9] Comentário enviado por jtdest em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
[10] Comentário enviado por viniciusraupp em 15/04/2015 - 19:29h
[9] Comentário enviado por marxbrito em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
Buenas, não tem usar o snortsam junto com o pacote snort pré-compilado, foi este motivo que me levou a criar este artigo.
[9] Comentário enviado por marxbrito em 20/03/2015 - 10:20h
uma duvida, ja estou com snort-mysql instalado via apt-get no debain, como fazer para adicionar snortsam no snort-mysql ja instaldo
? podera me ajudar .
Buenas, não tem usar o snortsam junto com o pacote snort pré-compilado, foi este motivo que me levou a criar este artigo.
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
[12] Comentário enviado por viniciusraupp em 02/07/2015 - 13:36h
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
Olá, desculpe mas desconheço o funcionamento do ips guardian.
[11] Comentário enviado por jtdest em 12/06/2015 - 20:26h
blz,.. vc conhece o ips gauardian , sabe como usar ele sobre uma bridge, porque meu snort esta olhando uma bridge , mais o guardian nao enxerga a bridge ou o iptables , porque ele chegar aplica regra tanto na forword e na intput mais não tenho efeito algum ... so aplica a regra .. não sei se tem quer adciona algum modulo para iptables entender quer o trafico e em bridge ,
abs..
Olá, desculpe mas desconheço o funcionamento do ips guardian.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
A evolução do Linux e as mudanças que se fazem necessárias desde o seu lançamento
Maquina modesta - a vez dos navegadores ferrarem o usuario
Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco
Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor
Dicas
Tópicos
Saída de loop após teste de if. (0)
Governo da França vai trocar Windows por Linux (9)
Warsaw não é reconhecido no Google Chrome 147.0.7727.55 [RESOLVIDO] (9)
Top 10 do mês
-
Xerxes
1° lugar - 146.375 pts -
Fábio Berbert de Paula
2° lugar - 76.632 pts -
Buckminster
3° lugar - 46.556 pts -
Alberto Federman Neto.
4° lugar - 44.369 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 32.700 pts -
edps
6° lugar - 30.296 pts -
Sidnei Serra
7° lugar - 27.858 pts -
Mauricio Ferrari (LinuxProativo)
8° lugar - 23.962 pts -
Daniel Lara Souza
9° lugar - 22.720 pts -
Andre (pinduvoz)
10° lugar - 21.087 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
