Snort + MySQL + Guardian - Instalação e configuração
Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.
[ Hits: 46.664 ]
Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com
Introdução
Pessoal, aqui aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian. Mas antes de colocar a mão na massa, vamos ver o que é esse tal de Snort e para que serve.
O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.
O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.
O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:
Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)
Bem, vamos ao que interessa. Mão na massa!
# aptitude install mysql-server
Depois de instalar, iremos criar o usuário "snort":
# mysql -u root -p
Entre com a senha de root que você forneceu durante a instalação.
mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;
Agora entre no MySQL usando o usuário que acabamos de criar:
# mysql -u snort -p
Informe a senha que utilizou para criar o usuário. Verifique as bases:
mysql> show databases;
Crie a base Snort no banco:
mysql> create database snort;
Saia:
mysql> quit
O Snort é um sistema de detecção de intrusão de rede, ou simplesmente NIDS, é uma ferramenta open source, que nos permite monitorar o tráfego da rede e descobrir quando a rede está sofrendo de acessos não autorizados que podem ser de um potencial atacante.
O Snort funciona da seguinte maneira: Inicialmente os pacotes são capturados pelo Snort utilizando o DAQ, depois são remontados pelos pré-processadores para analisar seu conteúdo e comparar com as assinaturas existentes, para dar confiabilidade ao IDS e evitar falso-negativo. Depois, o Payload é comparado com as regras que possuímos, então, caso exista uma regra que bata com o Payload, é gerado o output, que pode ser um alerta, logs ou alguma medida de ação.
O Snort pode vir a ter duas coisas que podem atrapalhar sua confiabilidade, que são:
- Falso-negativo → É quando um pacote passa sem ser notificado pelo IDS , o IDS pensa que o pacote é fluxo normal. Em minha opinião, pior que os falsos-positivos.
- Falso-positivo → É quando o pacote é notificado como intrusivo, mas na verdade, é somente um falso alerta, alarme falso. O grande problema de muito falso positivo é a ferramenta perder a credibilidade, é a velha história do alarme do carro que dispara muito, e quando realmente for um furto, você não vai acreditar que estão levando seu carro.
Fonte: Sp0oKeR Labs: Introdução ao Snort - Serie Snortando (Parte 1)
Bem, vamos ao que interessa. Mão na massa!
MySQL
Primeiramente, iremos instalar e configurar nosso banco de dados MySQL:# aptitude install mysql-server
Depois de instalar, iremos criar o usuário "snort":
# mysql -u root -p
Entre com a senha de root que você forneceu durante a instalação.
mysql> grant all privileges on snort.* to snort@localhost identified by "123456";
mysql> quit;
Agora entre no MySQL usando o usuário que acabamos de criar:
# mysql -u snort -p
Informe a senha que utilizou para criar o usuário. Verifique as bases:
mysql> show databases;
Crie a base Snort no banco:
mysql> create database snort;
Saia:
mysql> quit
Páginas do artigo
1. Introdução2. Snort
3. Guardian
Outros artigos deste autor
Redmine 2.1.4 no Debian Squeeze - Instalação e configuração
Servidor proxy com Squid - Instalação e configuração
Syslog-NG - Configurando um servidor de logs
Leitura recomendada
Descobrir a senha de configuração pelo browser de um Access Point (AP)
Soluções para Acesso Remoto Seguro com SSH
Cliente Linux no servidor LDAP
Comentários
[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!
[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.
[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:
Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil
Nmap scan report for 192.168.0.8
Host is up (0.0064s latency).
All 1000 scanned ports on 192.168.0.8 are closed
MAC Address: 42:61:83:D1:6A:10 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds
Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.
[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.
[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Resolver algumas mensagens de erro do SSH
Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run
Tópicos
O que você está ouvindo agora? [2] (188)
warsaw parou de funcionar após atualização do sistema (solução) (10)
Top 10 do mês
-
Xerxes
1° lugar - 72.329 pts -
Fábio Berbert de Paula
2° lugar - 50.967 pts -
Daniel Lara Souza
3° lugar - 17.994 pts -
Mauricio Ferrari
4° lugar - 16.724 pts -
Buckminster
5° lugar - 13.895 pts -
Alberto Federman Neto.
6° lugar - 13.619 pts -
edps
7° lugar - 13.359 pts -
Diego Mendes Rodrigues
8° lugar - 12.645 pts -
Andre (pinduvoz)
9° lugar - 12.134 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 12.141 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
