Configurando o IDS - Snort / Honeypot (parte 1)
Esse meu artigo é sobre IDS (Intrusion Detection System) ou Sistemas de Detecção de Intrusos, inicialmente vou falar sobre o Snort que é considerado o melhor dentre os softwares livres utilizados para este serviço.
[ Hits: 150.032 ]
Por: Jefferson Estanislau da Silva em 18/09/2003
Instalação
O Snort vem com a maioria dos distros
Linux no mercado, mas se você quiser,
pode baixar a versão mais atual dele no site
www.snort.org .
Presumindo que você fez o download para o diretório /usr/src, vamos
descompactá-lo. Lembre-se que você deve estar como root.
# tar xvzf snort.x.x.tar.gz
Agora vamos configurá-lo.
# ./configure -prefix=/usr/local/snort
# make
# make install
Observe acima que ele foi instalado no diretório
/usr/local/snort .
Agora, crie em /etc um diretório para o Snort:
# mkdir /etc/snort
Vamos mover o arquivo
snort.conf de seu diretório atual para o
que criamos:
# mv /usr/local/snort/snort.conf /etc/snort
Iremos alterar agora algumas linhas do arquivo snort.conf:
# mcedit /etc/snort/snort.conf
OBS: eu gosto de utilizar o mcedit, mas você poderá utilizar o de sua
preferência.
Localize as seguintes linhas no final do arquivo:
# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules
Edite-a desta forma:
# Path to your rules files (this can be a relative path)
#var RULE_PATH ../rules
A seguir, modifique as entradas de:
include $RULE_PATH/bad-traffic.rules
Para este formato:
include bad-traffic.rules
Salve o arquivo e feche o editor.
Agora devemos copiar as rules que estão em seu diretório atual para
o que criamos.
# cp /usr/local/snort/rules/*.* /etc/snort
Estas rules são as regras que o Snort utilize para identificar e
interpretar os ataques realizados em sua máquina pelos invasores.
Para finalizar, devemos agora criar um diretório para armazenar os logs
dos ataques.
# mkdir /var/log/snort
Página anterior Próxima página
Páginas do artigo
1.
Introdução
2. Instalação
3.
Executando o Snort
4.
Conclusão
Outros artigos deste autor
Entendendo a estrutura do Linux
História do GNU/Linux: 1965 assim tudo começou!
Banda Larga: Será que você tem mesmo?
Implementando scripts PHP com MySQL
AMSN, uma opção Open Source para o Messenger da Microsoft
Leitura recomendada
Controle de conteúdo: Como proteger seus usuários deles mesmos
Como configurar um IPTABLES simples e seguro no Slackware!
Race condition - vulnerabilidades em suids
Seu maior inimigo é você mesmo!
Ataque de Rougue AP com AIRBASE-NG
Comentários
Beleza de artigo Jeca, meus parabéns!
Salve!
r0x belo de artigo mesmo ;-)
chegando em casa irei rodar, sendo que na empresa fiz um teste rodou 100 %
Abraços
hyperblade
lucas.martinez@linuxdicas.com.br
Mensagem
Salve!
r0x belo de artigo mesmo ;-)
chegando em casa irei rodar, sendo que na empresa fiz um teste rodou 100 %
Abraços
hyperblade
lucas.martinez@linuxdicas.com.br
Cara Esse Artigo Me Ajudou Mtooo Valewsss Pela Dica !!!!
Mensagem
Cara Esse Artigo Me Ajudou Mtooo Valewsss Pela Dica !!!!
tive os seguintes erros ao executar o "make"...
---
/usr/include/time.h:158: redefinition of `struct itimerspec'
make[3]: *** [spo_alert_fast.o] Error 1
make[3]: Leaving directory `/home/juniox/snort-2.1.1/src/output-plugins'
make[2]: *** [all-recursive] Error 1
make[2]: Leaving directory `/home/juniox/snort-2.1.1/src'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/juniox/snort-2.1.1'
make: *** [all] Error 2
---
sabe a solução?
juniox@vivaolinux.com.br
valew!!
Mensagem
tive os seguintes erros ao executar o "make"...
---
/usr/include/time.h:158: redefinition of `struct itimerspec'
make[3]: *** [spo_alert_fast.o] Error 1
make[3]: Leaving directory `/home/juniox/snort-2.1.1/src/output-plugins'
make[2]: *** [all-recursive] Error 1
make[2]: Leaving directory `/home/juniox/snort-2.1.1/src'
make[1]: *** [all-recursive] Error 1
make[1]: Leaving directory `/home/juniox/snort-2.1.1'
make: *** [all] Error 2
---
sabe a solução?
juniox@vivaolinux.com.br
valew!!
Salve Jefferson ,
Quando eu dou o comando para executar ele me apresenta o seguinte erro:
root@hyperblade:/usr/local/snort/bin# ./snort -c /etc/snort/snort.conf -i eth0 &
[1] 7611
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort
Initializing Network Interface eth0
--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..
[1]+ Exit 1 ./snort -c /etc/snort/snort.conf -i eth0
Quando eu vejo a linha 107 fiz da forma que esta no artigo:
Linha 106 ==> # Path to your rules files (this can be a relative path)
Linha 107 ==> include $RULE_PATH/bad-traffic.rules
O que eu fiz ? coloquei assim na linha 107 # include $RULE_PATH/bad-traffic.rules depois disso ele foi bem para frente mais deu erro na linha 287 onde eu parei =/
[1] 7636
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort
Initializing Network Interface eth0
--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
,-----------[Flow Config]----------------------
| Stats Interval: 0
| Hash Method: 2
| Memcap: 10485760
| Rows : 4099
| Overhead Bytes: 16400(%0.16)
`----------------------------------------------
No arguments to frag2 directive, setting defaults to:
Fragment timeout: 60 seconds
Fragment memory cap: 4194304 bytes
Fragment min_ttl: 0
Fragment ttl_limit: 5
Fragment Problems: 0
Self preservation threshold: 500
Self preservation period: 90
Suspend threshold: 1000
Suspend period: 30
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: INACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
State Protection: 0
Self preservation threshold: 50
Self preservation period: 90
Suspend threshold: 200
Suspend period: 30
Stream4_reassemble config:
Server reassembly: INACTIVE
Client reassembly: ACTIVE
Reassembler alerts: ACTIVE
Zero out flushed packets: INACTIVE
flush_data_diff_size: 500
Ports: 21 23 25 53 80 110 111 143 513 1433
Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
ERROR: /etc/snort/snort.conf(287) => Unknown rule type: path
Fatal Error, Quitting..
Mensagem
Salve Jefferson ,
Quando eu dou o comando para executar ele me apresenta o seguinte erro:
root@hyperblade:/usr/local/snort/bin# ./snort -c /etc/snort/snort.conf -i eth0 &
[1] 7611
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort
Initializing Network Interface eth0
--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..
[1]+ Exit 1 ./snort -c /etc/snort/snort.conf -i eth0
Quando eu vejo a linha 107 fiz da forma que esta no artigo:
Linha 106 ==> # Path to your rules files (this can be a relative path)
Linha 107 ==> include $RULE_PATH/bad-traffic.rules
O que eu fiz ? coloquei assim na linha 107 # include $RULE_PATH/bad-traffic.rules depois disso ele foi bem para frente mais deu erro na linha 287 onde eu parei =/
[1] 7636
root@hyperblade:/usr/local/snort/bin# Running in IDS mode
Log directory = /var/log/snort
Initializing Network Interface eth0
--== Initializing Snort ==--
Initializing Output Plugins!
Decoding Ethernet on interface eth0
Initializing Preprocessors!
Initializing Plug-ins!
Parsing Rules file /etc/snort/snort.conf
+++++++++++++++++++++++++++++++++++++++++++++++++++
Initializing rule chains...
,-----------[Flow Config]----------------------
| Stats Interval: 0
| Hash Method: 2
| Memcap: 10485760
| Rows : 4099
| Overhead Bytes: 16400(%0.16)
`----------------------------------------------
No arguments to frag2 directive, setting defaults to:
Fragment timeout: 60 seconds
Fragment memory cap: 4194304 bytes
Fragment min_ttl: 0
Fragment ttl_limit: 5
Fragment Problems: 0
Self preservation threshold: 500
Self preservation period: 90
Suspend threshold: 1000
Suspend period: 30
Stream4 config:
Stateful inspection: ACTIVE
Session statistics: INACTIVE
Session timeout: 30 seconds
Session memory cap: 8388608 bytes
State alerts: INACTIVE
Evasion alerts: INACTIVE
Scan alerts: INACTIVE
Log Flushed Streams: INACTIVE
MinTTL: 1
TTL Limit: 5
Async Link: 0
State Protection: 0
Self preservation threshold: 50
Self preservation period: 90
Suspend threshold: 200
Suspend period: 30
Stream4_reassemble config:
Server reassembly: INACTIVE
Client reassembly: ACTIVE
Reassembler alerts: ACTIVE
Zero out flushed packets: INACTIVE
flush_data_diff_size: 500
Ports: 21 23 25 53 80 110 111 143 513 1433
Emergency Ports: 21 23 25 53 80 110 111 143 513 1433
ERROR: /etc/snort/snort.conf(287) => Unknown rule type: path
Fatal Error, Quitting..
O problema esta mesmo na linha 107 onde esta pegando eu voltei tudo
Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..
Alguma dica ?
Mensagem
O problema esta mesmo na linha 107 onde esta pegando eu voltei tudo
Initializing rule chains...
ERROR: Undefined variable name: (/etc/snort/snort.conf:107): RULE_PATH
Fatal Error, Quitting..
Alguma dica ?
Lucas,
Nas instalações que eu fiz, sempre passei na boa sem erros...
mesmo assim vou tentar verificar e te retorno se encontrar a resposta pra isso!!!
blz!!!
[]´s
Mensagem
Lucas,
Nas instalações que eu fiz, sempre passei na boa sem erros...
mesmo assim vou tentar verificar e te retorno se encontrar a resposta pra isso!!!
blz!!!
[]´s
Ola Jefferson,
eu utilizo o snort em meu roteador e gostaria de usar um frontend para o mesmo.
vc conhece algum interessante?
tentei usar o snortcenter mas pelo q parece ele soh funciona com um BD (Mysql ou postgree
flw
Mensagem
Ola Jefferson,
eu utilizo o snort em meu roteador e gostaria de usar um frontend para o mesmo.
vc conhece algum interessante?
tentei usar o snortcenter mas pelo q parece ele soh funciona com um BD (Mysql ou postgree
flw
Po cara realizei a instalação porém ele não criou o arquivo de configuração o snort.conf, ele criou somente os diretorios bin / lib / man.
Vc sabe o por que?
Mensagem
Po cara realizei a instalação porém ele não criou o arquivo de configuração o snort.conf, ele criou somente os diretorios bin / lib / man.
Vc sabe o por que?
Boa garoto...muito bom mesmo, adorei o artigo.
Mensagem
Boa garoto...muito bom mesmo, adorei o artigo.
Olah JeffStanislau boa noite otimo artigo a respeito do snort.
Porem tenho uma grande duvida nao sei se vc pode esclarecer-me.
Estou montando um router com iptables + squid para controlar uma rede local e wireless... Estou com duvida ainda se teria algum problema o snort ser instalado nesse mesmo router para monitorar as interfaces de rede. Que vc acha da idéia ? Tem alguma opiniao a respeito ?
Caso os colegas aqui do forum quiserem opinar por favor sera bem vindo
Obrigado
Mensagem
Olah JeffStanislau boa noite otimo artigo a respeito do snort.
Porem tenho uma grande duvida nao sei se vc pode esclarecer-me.
Estou montando um router com iptables + squid para controlar uma rede local e wireless... Estou com duvida ainda se teria algum problema o snort ser instalado nesse mesmo router para monitorar as interfaces de rede. Que vc acha da idéia ? Tem alguma opiniao a respeito ?
Caso os colegas aqui do forum quiserem opinar por favor sera bem vindo
Obrigado
estou com este erro na inicialização
root@ubuntu:/etc/snort# /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
ERROR: /etc/snort/snort.conf(326) => Invalid keyword '}' for server configuration.
Fatal Error, Quitting..
comentei a linha 326 mas o erro vai para linha 329 e parei por aqui
estou começando agora com linux
Alguem sabe como resolver
Mensagem
estou com este erro na inicialização
root@ubuntu:/etc/snort# /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
ERROR: /etc/snort/snort.conf(326) => Invalid keyword '}' for server configuration.
Fatal Error, Quitting..
comentei a linha 326 mas o erro vai para linha 329 e parei por aqui
estou começando agora com linux
Alguem sabe como resolver
Contribuir com comentário
Enviar