Dica dos amigos do CooperaTi

Snort é um software livre de detecção de intrusão para rede (NIDS) desenvolvido inicialmente por Martin Roesch, capaz de desenvolver análise de tráfego em tempo real e registro de pacote em redes IP. Executa análise de protocolo, busca/associa padrões de conteúdo e pode ser usado para detectar uma variedade de ataques, tais como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras. Esta ferramenta é suportada em arquiteturas RISC e CISC e em plataformas das mais diversas, como várias distros Linux (Red Hat, Debian, Slackware, Mandrake, etc.), OpenBSD, FreeBSD, NetBSD, Solaris, SunOS, HP-UX, AIX, IRIX, Tru64 e MacOS X.

No Brasil existe o projeto Snort-BR, um esforço para a criação de uma comunidade de usuários da ferramenta open-source para IDS no país.

[fonte: http://pt.wikipedia.org/wiki/Snort]

Instalação:

# apt-get install mysql-server mysql-client

Preencha o campo com a senha do administrador do mysql e depois redigite a senha.

# mysql -u root -p

mysql> create database snort;
mysql> grant all privileges on snort.* to snort@localhost identified by ‘senha_adm_mysql’;
mysql> flush privileges;
mysql> quit

Configurando a base de dados

# zcat /usr/share/doc/snort-mysql/create_mysql.gz | mysql -u root -h localhost -p snort

# apt-get install snort-mysql snort-rules-default

Editar algumas configurações do snort

# vi /etc/snort/snort.debian.conf
DEBIAN_SNORT_HOME_NET=”127.0.0.0/8,10.1.1.0/24″

Debian_SNORT_INTERFACE=”eth0″

—–

Vamos configurar o snort para usar o mysql

# vi /etc/snort/database.conf

database: log, mysql, user=snort password=senha_snort_mysql dbname=snort host=localhost

——-

Temos de remover o arquivo db-pending-config sem o qual não seria possível iniciar o snort.

# rm /etc/snort/db-pending-config

Reiniciar o snort

# /etc/init.d/snort restart

Se a intenção era apenas a instalação do snort o mesmo já está instalado e funcionando, mas não irei ficar apenas com isso.

Vamos a instalar o BASE (Basic Analysis and Security Engine) para a análise de alertas gerado pelo snort.

Instalar alguns pacotes necessários

# apt-get install php5 php5-mysql php5-gd php-pear libapache2-mod-php5 zip unzip

Vamos reiniciar o apache2 para ter suporte ao php

# /etc/init.d/apache2 restart

Download do BASE

# wget http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz

vamos descompactar o arquivo baixado

# tar xzvf base-1.4.5.tar.gz -C /var/www

# cd /var/www

# mv base-1.4.5/ base

Trocar o dono/grupo

# chown www-data:www-data base -R

Vamos baixar também o adodb para acesso a base de dados

# wget http://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-513-for-php/adodb513.zip

Descompactar

# unzip -d /var/www adodb513.zip

# chown www-data:www-data adodb5 -R

Vamos configurar o BASE

# cd /var/www/base

# cp -a base_conf.php.dist base_conf.php

# vi base_conf.php

$BASE_urlpath = ‘/base’;
$DBlib_path = ‘/var/www/adodb5′;
$alert_dbname = ‘snort’;
$alert_host = ‘localhost’;
$alert_port = ”;
$alert_user = ‘snort’;

—————————-

Instalar dependências pear Image_Canvas e Image_Graph

# pear install -a pear/Image_Graph-0.8.0

Ao invés de trazer o que foi pedido ele trouxe o Numbers_Words, mas precisamos dela então vamos resolver outra dependencia

# pear install -a pear/Image_Canvas-0.3.0

E agora sim o Image_Graph

# pear install -a pear/Image_Graph-0.8.0

Para continua, cliquem em LEIA MAIS

Continuar lendo →