OpenBSD IDS - Solução Snort e BASE

cvs

Por ser um sistema robusto, creio que seja o mais indicado para a implementação de um IDS em sua rede para que possa prover mais segurança e até se sentir mais seguro e detectar aquele mal elemento fazendo graça ou tentando fazer graça antes que consiga. Usaremos o Snort juntamente com o MySQL.

[ Hits: 47.387 ]

Por: Thiago Alves em 14/02/2008 | Blog: http://www.seeufosseopresidente.com.br

0 0
Denuncie   Favoritos   Indicar   Impressora

Snort - Configurando a Base de dados



Agora nessa parte vamos criar a base de dados pro snort.

# mysqladmin -u root -p create SNORT
# cp /usr/ports/net/snort/w-snort-2.6.0.2p1-mysql-flexresp/snort-2.6.0.2/schemas/create_mysql
# mysql -u root -p SNORT < ~/create_mysql

Agora vamos criar um usuário pro snort trabalhar com essas tabelas:

# mysql -u root -p
mysql> grant all privileges on SNORT.* to snort@"localhost" identified by 'suasenha';
mysql> flush privileges;

Logando na base de dados:

Começamos editando o arquivo snort.conf que fica no /etc/snort/.

1. Altere o var HOME_NET para sua rede interna, por exemplo:

var HOME_NET 10.10.0.0/24

2. Descomente essas variáveis:

output database: log, mysql, user=snort password=password dbname=SNORT host=localhost
output database: alert, mysql, user=root password=password dbname=SNORT host=localhost

Alterando para os dados corretos de acordo com sua configuração.

3. Se não existir o diretório /var/log/snort, então crie ele.

4. Edite o arquivo /etc/snort/rules/telnet.rules e comente a linha 43.

Agora só testar:

# snort -c /etc/snort/snort.conf

Se não deu nenhum erro, ok! Estamos funcionando... Mas vamos terminar nossas instalações.

PROBLEMAS?
  • Verifique o nome correto do seu banco de dados;
  • Coloque no conf do snort o mesmo nome do database, maiúsculo e minusculo, ele é case sensitive;
  • Veja se o grant foi dado no db correto;
  • A senha do usuário que vai acessar o banco tá certa?

Tive problema apenas nesses pontos e creio que mais alguém vai ter esses mesmos problemas.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. MySQL - Instalação e Configuração
   3. Snort - Instalação e configuração
   4. PHP - Instalação e configuração
   5. Apache - Configurações
   6. Snort - Configurando a Base de dados
   7. BASE - Instalando e configurando
   8. Acessando a interface WEB
Outros artigos deste autor

Instalando o VMWare no Slackware

Criando uma ISO bootável do OpenBSD

Incremente o iptables com patch-o-matic

Instalação do CentOS 5.3

Mozilla Firefox com plugins para Flash e JAVA

Leitura recomendada

Intrusão simples com Metasploit

Recuperação do arquivo sudoers - comandos su e sudo não funcionam mais [Resolvido]

Criptografia chave simétrica de bloco e de fluxo

Descobrindo chave WPA2 com Aircrack-ng

Segurança em Software de Código Aberto

  
Comentários
[1] Comentário enviado por Cooler_ em 14/02/2008 - 18:14h

Gostei do teu artigo Brother tudo redondinho
soh falto o Proxy e o firewall no caso o packet filter
o PF tem opção para enganar fingerprint aqueles ataques
com nmap ou o probe... para descobrir o OS vide
#cat /etc/pf.os
acho interessante este e outros truques ...(até parece um honeypot)
Parabens pelo artigo

[2] Comentário enviado por exercitobr em 15/02/2008 - 08:53h

Interessante, parabéns pelo artigo.

[3] Comentário enviado por y2h4ck em 15/02/2008 - 14:44h

Tony_baiacu

Pra que proxy ?????? em um IDS ???? WTF ??

:P

[4] Comentário enviado por cvs em 15/02/2008 - 14:58h

A maquina de proxy eu não montei ainda... E o firewall também não. Estou ainda estudando um pouco sobre pf pra ver se consigo fazer algo decente ou pelo menos algo que funcione pra mim aqui... hehehe

Valeu pelos comentários.

[5] Comentário enviado por Cooler_ em 17/02/2008 - 01:22h

y2h4ck
realmente depende se for usar como gateway ou como firewall
como he usado em bancos vai de caso... usa soh com IDs acho que
eu não usaria...
---
depende aqui tenho um phantom server com openbsd current
com uma Atheros+antenna_aquario ela pega uma rede sem wep
com um script em perl depois conecta e ja levanta
o DNS no no-ip e ja levanta o apache+php+mysql+IRCD+SNort+PF


tudo que for com OpenBSD no final sempre fica seguro :)


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)

Linux em 2025: Segurança prática para o usuário

Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado

IA chega ao desktop e impulsiona produtividade no mundo Linux

Novos apps de produtividade, avanços em IA e distros em ebulição agitam o universo Linux

Dicas

Digitando underscore com "shift" + "barra de espaços"

Como ativar a lixeira e recuperar aquivos deletados em um servidor Linux

Como mudar o nome de dispositivos Bluetooth via linha de comando

Adicionando o repositório backports no Debian 13 Trixie

Tratando arquivos de pacote

Tópicos

estou na 22.1 e não é atualizado pra 22.4 via "sudo full-upgrade&... (1)

PIP3 - erro ao instalar módulo do mariadb para o Python (2)

converter algoritmo C++ em C? (0)

Falha com leitor de digitais no Ubuntu: sugestões? (0)

Problema em SSD ao dar boot LinuxMint LMDE FAYE 64 (1)

Top 10 do mês

Scripts

[Shell Script] Script para teste de THP no sistema

[Shell Script] Deixando o Plasma6 mais fluido

[Shell Script] Script ligar-scrolllock

[Shell Script] Como ver/ouvir vídeo/áudio via Terminal de modo prático

[Shell Script] Criar Script para apagar determinados arquivos

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: