- Snort 2.8.6:
http://conteudoopensource.blogspot.com/2010/06/snort-snort-286-em-modo-promiuscuo.html
O snort pode ser utilizado tanto para detectar ataques(IDS colocando-o em modo promiscuo utilizando por exemplo o port mirror no switch) quanto também para detectar e bloquear os ataques(IPS colocando-0 no modo in-line no gateway, firewall de sua rede.), neste tutorial estou utilizando o snort em modo promiscuo realizei um port mirror da porta dos gateways da rede e os alertas estão sendo registrados em um banco mysql.
- Snorby 1.1.3:
O snorby é um dos frontends utilizados para visualizar os alertas gerados pelo snort ele também contém gráficos e estatisticas e com uma interface bastante intuitiva. Conheça-o http://snorby.org/.
Particulamente gostei muito deste frontend, ele ainda esta em fase de desenvolvimento mas já dar para utiliza-lo em produção. Veja os report bugs do mesmo com a identificação de erros e suas devidas correções e ferramentas a ser implementadas: http://github.com/mephux/Snorby/issues.
Desenvolvido utilizando a linguagem de programação ruby on rails para plataforma web. Outro ótimo frontend é o BASE(http://base.secureideas.net/) fork do antigo ACID.
Bem, vamos dar o start-up em nosso assunto principal que é a instalação do snort:
OBS.: Para utilizar o output(alertas e logs) direcionado para banco de dados mysql, vc antes deverá instalar o mysql e suas bibliotecas.
1) Baixe o snort http://www.snort.org/downloads. Descompacte o tallbar(arquivo tar.gz) do snort;
2) Dentro da pasta descompactada, iremos iniciar a configuração, compilção e instalação:
-> Configure com output para DB mysql:
#./configure --with-mysql --with-mysql-includes=/usr/local/include/mysql --with-mysql-libraries=/usr/local/lib/mysql --prefix=/usr/local/snort
# make
# make install
3) Criar estruturas de diretórios do snort
# mkdir /usr/local/etc/snort
Na pasta descompactada do snort, copie os arquivos do diretório conforme abaixo:
# cp /home/leonardo.conrado/snort-2.8.6/etc/* /usr/local/etc/snort/
4) Copiar as rules que deve ser baixados do site snort.org(Vc deve se cadastrar antes) e coloque-as em /usr/local/snort/rules(crie a pasta rules se não existir)
# cp /home/leonardo.conrado/snortrules-snapshot-2860/* /usr/local/snort/rules
5) Configurar o snort, conforme abaixo:
# vi /usr/local/etc/snort/snort.conf
Configure as principais variáveis, veja os exemplos já configurado:
###################################################
# Step #1: Set the network variables. For more information, see README.variables
###################################################
# Setup the network addresses you are protecting
var HOME_NET [192.168.1.0/24]
# List of DNS servers on your network
var DNS_SERVERS [192.168.0.60/32,187.84.92.1,187.84.92.2/32]
# List of web servers on your network
var HTTP_SERVERS [192.168.0.64/32]
# List of sql servers on your network
var SQL_SERVERS [192.168.0.65/32]
# List of SMTP servers on your network
var SMTP_SERVERS 187.84.92.99
# Path to your rules files (this can be a relative path)
# Note for Windows users: You are advised to make this an absolute path,
# such as: c:\snort\rules
var RULE_PATH /usr/local/snort/rules/rules
var SO_RULE_PATH /usr/local/snort/rules/so_rules
var PREPROC_RULE_PATH /usr/local/snort/rules/preproc_rules
###################################################
# Step #6: Configure output plugins
# For more information, see Snort Manual, Configuring Snort - Output Modules
###################################################
# syslog
output alert_syslog: LOG_AUTH LOG_ALERT
# pcap
# output log_tcpdump: tcpdump.log
# database
output database: alert, mysql,user=snort password=senhaBancoSnortmysql dbname=snort host=192.168.0.65
output database: log, mysql,dbname=snort username=snort password=senhaBancoSnortmysql host=192.168.0.65
###################################################
# Step #7: Customize your rule set
# For more information, see Snort Manual, Writing Snort Rules
###################################################
…
6) Para testar inicie o snort, acompanhe a saída se ocorrer algum erro a inicialização será interrompida e vc poderá verificar qual o motivo do o erro:
# /usr/local/snort/bin/snort -c /usr/local/etc/snort/snort.conf
0sem comentários ainda