você está aqui: Home  → Arquivo de Mensagens

Snort + ACID + MySql no Slackware

Colaboração: Fred I. de Oliveira

Data de Publicação: 11 de Setembro de 2006

O SNORT é um NIDS (Network Intrusion Detection System). È usado para detectar invasões em sua rede, analisando protocolos e conteúdo de pacotes.

O ACID (Analisys Console for Intrusion Databases) é usado para analisar os logs do SNORT e apresenta-los em uma intarface WEB.

Pré-Requisitos

  • Sistema Operacional Linux (Slackware 10.2 Kernel 2.6.13)
  • Servidor Web Apache
  • Interpretador PHP4
  • MySQL

Caso os pacotes acima ainda não estejam instalados, você pode fazer download dos pacotes no site http://www.linuxpackages.net ou usar o CD 1 de instalação.

Instalação

Agora entre no site http://www.snort.org/dl/ e faça o download do arquivo de instalação do SNORT, a versão atual é a 2.6.

Agora descompacte o arquivo:

  # tar xzvf snort-2.6.0.tar.gz
  # cd snort-2.6

Agora vamos compilar o snort com suporte ao MySql.

  # ./configure  with-mysql=/usr
  # make
  # make install

Se tudo correu bem seu Snort está instalado, mas ainda faltam alguns ajustes. Crie uma pasta chamada rules no /etc:

  # mkdir /etc/rules

Para baixar as rules entre no site http://www.snort.org/pub-bin/downloads.cgi Após o download descompacte o arquivo na pasta /etc/rules

  # tar xzvf snortrules-*.tar.gz
  # mv snortrules-*/* /etc/rules/

Base de dados do SNORT

Primeiro é necessário criarmos a base de dados que será usada para armazenar o registro dos ataques, e um usuário que terá permissão para adicionar esses registros na database.

  # mysql  u root  p
  
  mysql> create database snort;
  mysql> grant all privileges on snort.*
         to snort@localhost identified by  12345 ;
  mysql> quit

Agora iremos criar as tabelas na database para o funcionamento do SNORT. Entre no diretório onde o snort foi descompactado e execute o comando abaixo:

  # mysql  u root  p snort < schemas/create_mysql

Configuração do SNORT

O arquivo de configuração do SNORT encontra-se na pasta /etc. Você deverá editá-lo de acordo com suas necessidades. Alguns campos devem ser alterados obrigatoriamente, para isso siga as instruções abaixo:

  # vi snort.conf

Agora altere o campo var HOME_NET para o IP da máquina ou rede que irá monitorar, e também o campo var DNS_SERVERS para o endereço do seu DNS, evitando assim que o SNORT crie alertas com os acessos vindos do mesmo.

Procure a linha abaixo e deixe-a descomentada.

  output database: log, mysql, user=snort password=12345
                    dbname=snort host=localhost

Essa linha faz com que todos os logs do SNORT sejam gravados no banco de dados para que posteriormente sejam mostrados pelo ACID.

Feito isso salve e saia do arquivo ( :wq! )

Configuração do ACID

Você pode encontrar o ACID para download no site http://www.cert.org/kb/acid. A versão atual disponível para download é a 0.9.6b23.

Também é necessário baixar o ADODB para o perfeito funcionamento do ACID. O download pode ser feito no link http://prdownloads.sourceforge.net/adodb/adodb491.tgz?use_mirror=ufpr

Após o download do arquivo descompacte-o na pasta /var/www/htdocs

  # tar xzvf acid-0.9.6b23.tar.gz -C /var/www/htdocs

Descompacte o adodb dentro da pasta acid.

  # tar xzvf adodb491.tgz -C /var/www/htdocs/acid

Agora entre na pasta criada e edite o arquivo acid_conf.php

  # cd /var/www/htdocs/acid/
  # vi acid_conf.php

Agora altere os campos abaixo:

  $DBlib_path = "/var/www/htdocs/acid/adodb";
  
  $alert_dbname = "snort";
  $alert_host = "localhost";
  $alert_port = "";
  $alert_user = "snort";
  $alert_password = "12345";

Os próximos passos da configuração serão feitas pelo seu navegador. Abra um navegador de sua preferência e entre no endereço http://localhost/acid

Depois de abrir o endereço acima, clique no link Setup Page, depois disso ele estará pronto para o uso :)

Iniciando e Testando o Snort

Para iniciar o Snort digite a linha de comando abaixo:

  # /usr/local/bin/snort -D

Para testa-lo, entre em algum outro computador e tente varrer as portas abertas no servidor onde está o SNORT.

Supondo que a máquina onde o SNORT está rodando tenha o IP 10.21.0.4 vou usar a máquina 10.21.0.5 para varrer as portas:

  # nmap 10.21.0.4

Agora na máquina 10.21.0.4 entre no seu navegador e entre no endereço http://localhost/acid

Se durante a instalação tudo correu bem e o snort foi iniciado sem erros, ele irá apresentar as tentativas de invasão.

Espero que o Artigo seja de bom proveito para a comunidade.

Fred I. de Oliveira <<fred (a) sejalivre com br>>, Porto Velho/RO



 

 

Veja a relação completa dos artigos de Fred I. de Oliveira

Opinião dos Leitores

Seja o primeiro a comentar este artigo
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script