Snort + BarnYard2 + Snorby no Slackware 14.1

Sistema de detecção de intrusão: Slackware com Snort + BarnYard2 e Snorby pelo Apache com módulo passenger e logs armazenados pelo MySQL.

[ Hits: 21.132 ]

Por: krum em 22/12/2014


Pacotes necessários e instalação



Supondo que você ja esteja com seu MySQL, Apache e PHP funcionando, partiremos para o Snort e seus complementos. Caso não queira usar o Snorby pelo Apache, não tem problema, pois ele roda independente também (você poderá seguir sem o Apache e PHP).

Será necessário baixar os slackbuilds para compilar os pacotes, ou você pode baixar os que compilei para versão do Slackware 14.1-x86_64 que vou disponibilizar mais abaixo pelos links do mega.

Precisamos dos seguintes pacotes.

Libcap-ng:
Libdnet:
Libnet:
Libnids:
Daq:
Barnyard2:
O arquivo do Barnyard2 no slackbuilds será baixado com nome v2-1.13.tar.gz, renomeie para barnyard2-2-1.13.tar.gz, ficando o seguinte comando:

# mv v2-1.13.tar.gz barnyard2-2-1.13.tar.gz

Snort:
Caso verifique seus logs e encontre o problemas com snort: FATAL ERROR: Cannot decode data link type 113'

Compile-o com a seguinte opção:

--enable-non-ether-decoders

... e será corrigido, ficando como abaixo a modificação no snort.Slackbuilds:

# ./configure
--prefix=/usr
--libdir=/usr/lib${LIBDIRSUFFIX}
--sysconfdir=/etc
--mandir=/usr/man
--localstatedir=/var
--docdir=/usr/doc/$PRGNAM-$VERSION
--enable-pthread
--enable-linux-smp-stats
--enable-zlib
--build=$ARCH-slackware-linux
--enable-non-ether-decoders


Obs.: tive alguns problemas com a versão 2.9.5.6 do Snort, com a versão 2.9.7.0 esses problemas foram corrigidos e funcionou perfeitamente (recomendo).

Após baixar os tgz, execute o comando:

# installpkg *.tgz

Agora vamos baixar snortrules, as regras para funcionamento da detecção de intrusão. Já deixei os arquivos organizados para a pasta do snort.

SnortRules:
Feito o download, vamos executar o seguinte comando:

# tar -xjvf snortrules.tar.bz2 -C /etc/snort/

Página anterior     Próxima página

Páginas do artigo
   1. O que é e como funciona uma ferramenta IDS
   2. Pacotes necessários e instalação
   3. Configuração do Snort e Barnyard2
   4. Instalação e configuração do Snorby
   5. Apache e Mod_passenger
   6. Instalando e configurando o Wkhtmltopdf
   7. Considerações finais
Outros artigos deste autor

Como montar imagem VDI (VirtualBox) no Linux

Leitura recomendada

Lynis: Sistema de auditoria e segurança para Linux

Impedindo o compartilhamento de conexão

Proxy reverso com ModSecurity no Debian Etch

Desvendando código malicioso no fórum Viva o Linux

Ataque de Rougue AP com AIRBASE-NG

  
Comentários
[1] Comentário enviado por fabio em 22/12/2014 - 13:27h

Excelente artigo, meus parabéns!

[2] Comentário enviado por danniel-lara em 22/12/2014 - 13:50h

Bah , que baita Artigo
já esta no favoritos


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts