OpenBSD IDS - Solução Snort e BASE

cvs

Por ser um sistema robusto, creio que seja o mais indicado para a implementação de um IDS em sua rede para que possa prover mais segurança e até se sentir mais seguro e detectar aquele mal elemento fazendo graça ou tentando fazer graça antes que consiga. Usaremos o Snort juntamente com o MySQL.

[ Hits: 46.333 ]

Por: Thiago Alves em 14/02/2008 | Blog: http://www.seeufosseopresidente.com.br

0 0
Denuncie   Favoritos   Indicar   Impressora

Snort - Configurando a Base de dados



Agora nessa parte vamos criar a base de dados pro snort.

# mysqladmin -u root -p create SNORT
# cp /usr/ports/net/snort/w-snort-2.6.0.2p1-mysql-flexresp/snort-2.6.0.2/schemas/create_mysql
# mysql -u root -p SNORT < ~/create_mysql

Agora vamos criar um usuário pro snort trabalhar com essas tabelas:

# mysql -u root -p
mysql> grant all privileges on SNORT.* to snort@"localhost" identified by 'suasenha';
mysql> flush privileges;

Logando na base de dados:

Começamos editando o arquivo snort.conf que fica no /etc/snort/.

1. Altere o var HOME_NET para sua rede interna, por exemplo:

var HOME_NET 10.10.0.0/24

2. Descomente essas variáveis:

output database: log, mysql, user=snort password=password dbname=SNORT host=localhost
output database: alert, mysql, user=root password=password dbname=SNORT host=localhost

Alterando para os dados corretos de acordo com sua configuração.

3. Se não existir o diretório /var/log/snort, então crie ele.

4. Edite o arquivo /etc/snort/rules/telnet.rules e comente a linha 43.

Agora só testar:

# snort -c /etc/snort/snort.conf

Se não deu nenhum erro, ok! Estamos funcionando... Mas vamos terminar nossas instalações.

PROBLEMAS?
  • Verifique o nome correto do seu banco de dados;
  • Coloque no conf do snort o mesmo nome do database, maiúsculo e minusculo, ele é case sensitive;
  • Veja se o grant foi dado no db correto;
  • A senha do usuário que vai acessar o banco tá certa?

Tive problema apenas nesses pontos e creio que mais alguém vai ter esses mesmos problemas.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. MySQL - Instalação e Configuração
   3. Snort - Instalação e configuração
   4. PHP - Instalação e configuração
   5. Apache - Configurações
   6. Snort - Configurando a Base de dados
   7. BASE - Instalando e configurando
   8. Acessando a interface WEB
Outros artigos deste autor

Gaim + Gaim Encryption - Bate-papo com segurança

OpenBSD Proxy - Squid, SquidGuard, SquidClamAV e AdZapper

Compilando Apache 2 com PHP, MySQL, mod_perl e mod_ssl

Gcombust, um frontend para cdrecord

ProFTPD + MySQL - Servidor FTP com usuários em banco de dados

Leitura recomendada

Recuperar a senha de root iniciando através do init=/bin/bash e alterando o arquivo /etc/shadow

Adicionando baterias automotivas extras em nobreaks

Entendendo o que é Engenharia Social

Burlando "MSN Sniffers" com TOR e Gaim

Configurando o IDS - Snort / Honeypot (parte 1)

  
Comentários
[1] Comentário enviado por Cooler_ em 14/02/2008 - 18:14h

Gostei do teu artigo Brother tudo redondinho
soh falto o Proxy e o firewall no caso o packet filter
o PF tem opção para enganar fingerprint aqueles ataques
com nmap ou o probe... para descobrir o OS vide
#cat /etc/pf.os
acho interessante este e outros truques ...(até parece um honeypot)
Parabens pelo artigo

[2] Comentário enviado por exercitobr em 15/02/2008 - 08:53h

Interessante, parabéns pelo artigo.

[3] Comentário enviado por y2h4ck em 15/02/2008 - 14:44h

Tony_baiacu

Pra que proxy ?????? em um IDS ???? WTF ??

:P

[4] Comentário enviado por cvs em 15/02/2008 - 14:58h

A maquina de proxy eu não montei ainda... E o firewall também não. Estou ainda estudando um pouco sobre pf pra ver se consigo fazer algo decente ou pelo menos algo que funcione pra mim aqui... hehehe

Valeu pelos comentários.

[5] Comentário enviado por Cooler_ em 17/02/2008 - 01:22h

y2h4ck
realmente depende se for usar como gateway ou como firewall
como he usado em bancos vai de caso... usa soh com IDs acho que
eu não usaria...
---
depende aqui tenho um phantom server com openbsd current
com uma Atheros+antenna_aquario ela pega uma rede sem wep
com um script em perl depois conecta e ja levanta
o DNS no no-ip e ja levanta o apache+php+mysql+IRCD+SNort+PF


tudo que for com OpenBSD no final sempre fica seguro :)


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Enviar mensagem ao usuário trabalhando com as opções do php.ini

Meu Fork do Plugin de Integração do CVS para o KDevelop

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

Dicas

Criando uma VPC na AWS via CLI

Multifuncional HP imprime mas não digitaliza

Dica básica para escrever um Artigo.

Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

Visualizar a árvore de arquivos no terminal

Tópicos

Pegar a ultima ocorrencia viva (1)

Pq me aparece isso quando fui atualizar o Ubuntu 24.10 no terminal? (1)

Erro no cups.file (9)

como coloco para instalar com esse erro. (13)

Alguém sabe de documentos de texto e /ou vídeo aulas de certificações ... (1)

Top 10 do mês

Scripts

[Shell Script] Criador de playlist

[Shell Script] Instalador de programas

[Python] Automação de scan de vulnerabilidades de URL

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: