OpenBSD IDS - Solução Snort e BASE

cvs

Por ser um sistema robusto, creio que seja o mais indicado para a implementação de um IDS em sua rede para que possa prover mais segurança e até se sentir mais seguro e detectar aquele mal elemento fazendo graça ou tentando fazer graça antes que consiga. Usaremos o Snort juntamente com o MySQL.

[ Hits: 47.382 ]

Por: Thiago Alves em 14/02/2008 | Blog: http://www.seeufosseopresidente.com.br

0 0

Denuncie Favoritos Indicar Impressora

Snort - Instalação e configuração

Já o Snort vamos instalar via ports, simples e não muito rápido:

# cd /usr/ports/net/snort
# env FLAVOR="mysql flexresp" make install

Agora pode sentar e esperar, porque vai tempo. Depois de instalado, acesse o site www.snort.org e se cadastre no site e baixe esse arquivo.

### Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release) ###

Que é o arquivo de regras mais atual pra quem é registrado no site, quem tiver $$ e quiser gastar com isso pode estar pagando uma pequena quantia para obter regras mais novas.

Enquanto escrevo esse artigo o arquivo mais atual é o:

http://www.snort.org/pub-bin/.../snortrules-snapshot-CURRENT.tar.gz

RELEASED: 2007-12-17

Depois que terminar o download descompacte pra dentro de /etc/snort.

# tar zxvf snortrules-snapshot-CURRENT.tar.gz -C /etc/snort

Agora crie o diretório dos logs:

# mkdir /var/log/snort
# chown -R _snort._snort /var/log/snort

Vamos configurar sua inicialização automática.

Edite o arquivo rc.conf e adicione a linha:

snort=YES

E depois no arquivo /etc/rc.local as seguintes linhas:

if [ X"${snort}" == X"YES" -a -x /usr/local/bin/snort ]; then
echo -n " snort"; /usr/local/bin/snort -D -d -c /etc/snort/snort.conf -u _snort -g _snort
fi

Agora vamos ao PHP. Mais pra frente vamos terminar a configuração. Primeiro vamos terminar de instalar os software necessários.

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. MySQL - Instalação e Configuração
   3. Snort - Instalação e configuração
   4. PHP - Instalação e configuração
   5. Apache - Configurações
   6. Snort - Configurando a Base de dados
   7. BASE - Instalando e configurando
   8. Acessando a interface WEB

Outros artigos deste autor

Tornando o OpenBSD stable

Compilando o Apache 2 com PHP e MySQL

Servidor FTP com NetBSD (PureFTPD + MySQL)

Criando uma ISO bootável do OpenBSD

Montando um PDC com OpenBSD

Leitura recomendada

HoneyPots em Linux

Segurança para iniciantes

SELinux na prática

Hardening, se adequando as normas ISO 27000

Criptografar sua atual partição root usando dm-crypt com luks

Comentários

[1] Comentário enviado por Cooler_ em 14/02/2008 - 18:14h

Gostei do teu artigo Brother tudo redondinho
soh falto o Proxy e o firewall no caso o packet filter
o PF tem opção para enganar fingerprint aqueles ataques
com nmap ou o probe... para descobrir o OS vide
#cat /etc/pf.os
acho interessante este e outros truques ...(até parece um honeypot)
Parabens pelo artigo

0 0

[2] Comentário enviado por exercitobr em 15/02/2008 - 08:53h

Interessante, parabéns pelo artigo.

0 0

[3] Comentário enviado por y2h4ck em 15/02/2008 - 14:44h

Tony_baiacu

Pra que proxy ?????? em um IDS ???? WTF ??

:P

0 0

[4] Comentário enviado por cvs em 15/02/2008 - 14:58h

A maquina de proxy eu não montei ainda... E o firewall também não. Estou ainda estudando um pouco sobre pf pra ver se consigo fazer algo decente ou pelo menos algo que funcione pra mim aqui... hehehe

Valeu pelos comentários.

0 0

[5] Comentário enviado por Cooler_ em 17/02/2008 - 01:22h

y2h4ck
realmente depende se for usar como gateway ou como firewall
como he usado em bancos vai de caso... usa soh com IDs acho que
eu não usaria...
---
depende aqui tenho um phantom server com openbsd current
com uma Atheros+antenna_aquario ela pega uma rede sem wep
com um script em perl depois conecta e ja levanta
o DNS no no-ip e ja levanta o apache+php+mysql+IRCD+SNort+PF

tudo que for com OpenBSD no final sempre fica seguro :)

0 0