Instalando um IDS em seu Servidor com o Snort

Dica dos amigos do CooperaTi

Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. Executa análise de protocolo, busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques, tais como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras. Esta ferramenta é suportada em arquiteturas RISC e CISC e em plataformas das mais diversas, como várias distros Linux (Red Hat, Debian, Slackware, Mandrake, etc.), OpenBSD, FreeBSD, NetBSD, Solaris, SunOS, HP-UX, AIX, IRIX, Tru64 e MacOS X.

No Brasil existe o projeto Snort-BR, um esforço para a criação de uma comunidade de usuários da ferramenta open-source para IDS no país.

[fonte: http://pt.wikipedia.org/wiki/Snort]

Instalação:

# apt-get install mysql-server mysql-client

Preencha o campo com a senha do administrador do mysql e depois redigite a senha.

# mysql -u root -p

mysql> create database snort;
mysql> grant all privileges on snort.* to snort@localhost identified by ‘senha_adm_mysql’;
mysql> flush privileges;
mysql> quit

Configurando a base de dados

# zcat /usr/share/doc/snort-mysql/create_mysql.gz | mysql -u root -h localhost -p snort

# apt-get install snort-mysql snort-rules-default

Editar algumas configurações do snort

# vi /etc/snort/snort.debian.conf
DEBIAN_SNORT_HOME_NET=”127.0.0.0/8,10.1.1.0/24″

Debian_SNORT_INTERFACE=”eth0″

—–

Vamos configurar o snort para usar o mysql

# vi /etc/snort/database.conf

database: log, mysql, user=snort password=senha_snort_mysql dbname=snort host=localhost

——-

Temos de remover o arquivo db-pending-config sem o qual não seria possível iniciar o snort.

# rm /etc/snort/db-pending-config

Reiniciar o snort

# /etc/init.d/snort restart

Se a intenção era apenas a instalação do snort o mesmo já está instalado e funcionando, mas não irei ficar apenas com isso.

Vamos a instalar o BASE (Basic Analysis and Security Engine) para a análise de alertas gerado pelo snort.

Instalar alguns pacotes necessários

# apt-get install php5 php5-mysql php5-gd php-pear libapache2-mod-php5 zip unzip

Vamos reiniciar o apache2 para ter suporte ao php

# /etc/init.d/apache2 restart

Download do BASE

# wget http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz

vamos descompactar o arquivo baixado

# tar xzvf base-1.4.5.tar.gz -C /var/www

# cd /var/www

# mv base-1.4.5/ base

Trocar o dono/grupo

# chown www-data:www-data base -R

Vamos baixar também o adodb para acesso a base de dados

# wget http://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-513-for-php/adodb513.zip

Descompactar

# unzip -d /var/www adodb513.zip

# chown www-data:www-data adodb5 -R

Vamos configurar o BASE

# cd /var/www/base

# cp -a base_conf.php.dist base_conf.php

# vi base_conf.php

$BASE_urlpath = ‘/base’;
$DBlib_path = ‘/var/www/adodb5′;
$alert_dbname = ‘snort’;
$alert_host = ‘localhost’;
$alert_port = ”;
$alert_user = ‘snort’;

—————————-

Instalar dependências pear Image_Canvas e Image_Graph

# pear install -a pear/Image_Graph-0.8.0

Ao invés de trazer o que foi pedido ele trouxe o Numbers_Words, mas precisamos dela então vamos resolver outra dependencia

# pear install -a pear/Image_Canvas-0.3.0

E agora sim o Image_Graph

# pear install -a pear/Image_Graph-0.8.0

Para continua, cliquem em LEIA MAIS

Continuar lendo

Anúncios

Prevenindo PortScan em seu servidor com PortSentry

 

Dica do Pessoal do COOPERATI

 

Ter um servidor ligado à internet e sempre complicado, além de lidar com as configurações de serviços para garantir a estabilidade e segurança, temos que pensar também nos mal intencionados da rede. Evitar que ataques de portscan sejam efetivos costuma ser trabalhoso, mas com o Portsentry sua vida fica um pouco mais fácil.

O Portsentry simula que portas estejam abertas em seu Servidor e quando essas portas recebem algum tipo de acesso ou escaneamento ele pode tomar alguma atitude. Geralmente bloquear o IP de origem, assim seu sistema mantém aquele host bloqueado.

Vamos à instalação:

root# apt-get install portsentry

Se o sistema for baseado em CentOS, procure pelo portsentry no site rpmfind.net, escolha a versão compatível com seu sistema e instale com:

root# rpm -ivh portsentry-versao_do_porsentry.rpm

Agora entre no diretório /etc/portsentry para começar as configurações:

root# cd /etc/portsentry

Renomeie o arquivo portsentry.conf :

root# mv portsentry.conf portsentry.conf.original

Crie seu arquivo com o seguinte conteúdo:

root# vi portsentry.conf

# Portas que serão simuladas pelo portsentry(NUNCA USE PORTAS DE SERVIÇOS QUE ESTEJAM NESTE SERVIDOR)
TCP_PORTS=”1,11,15,23,79,111,119,143,445,540,635,1080,1524,2000,3128,5742,6667,12345,12346,20034,27665,31337,32771,32772,32773,32774,40421,49724,54320″
UDP_PORTS=”1,7,9,69,161,162,513,635,640,641,700,37444,34555,31335,32770,32771,32772,32773,32774,31337,54321″
# Portas altas
ADVANCED_PORTS_TCP=”1024″
ADVANCED_PORTS_UDP=”1024″
# Portas excluídas do bloqueio
ADVANCED_EXCLUDE_TCP=”113,139″
ADVANCED_EXCLUDE_UDP=”520,138,137,67″
# Hosts que não serão bloqueados estão neste arquivo(um por linha)
IGNORE_FILE=”/etc/portsentry/portsentry.ignore”
# Histórico dos bloqueios
HISTORY_FILE=”/var/lib/portsentry/portsentry.history”
# Hosts bloqueados
BLOCKED_FILE=”/var/lib/portsentry/portsentry.blocked”
# Não resolver nome dos hosts
RESOLVE_HOST = “0″
# Bloquear TCP e UDP
BLOCK_UDP=”1″
BLOCK_TCP=”1″
# Regras do IPTABLES que irá bloquear o host que acessar as portas:
KILL_ROUTE=”/sbin/iptables -I INPUT -s $TARGET$ -j DROP”
# Regra a ser adicionada no hosts.allow
KILL_HOSTS_DENY=”ALL: $TARGET$ : DENY”
# Quantos acessos um host pode fazer em uma porta antes de ser bloqueado
SCAN_TRIGGER=”1″

Basta agora reiniciar o serviço:

root# /etc/init.d/portsentry restart

Veja como funciona, primeiro temos as portas normais de serviço abertas: (CLIQUE EM LEIA MAIS)

Continuar lendo

Volta das Carteiras Microsoft em Outubro!



Haverá três cores diferentes – verde para Técnico, Laranja para o Office, e vermelho para instrutor. A certificação você escolhe para a frente do cartão vai ditar a cor independentemente das certificações que você escolher para as costas. Haverá um holograma oficial da Microsoft na frente e um Tag Microsoft na parte de trás. Você tem a opção de fazer upload de sua foto para o cartão ou ir com uma imagem padrão padrão que é fornecida durante o processo de criação do cartão. O custo será de US $ 8,95  – o que inclui transporte e manuseio. (independentemente da sua localização).

Fonte:WagnerVasconcelos