Snort + BarnYard2 + Snorby no Slackware 14.1

Sistema de detecção de intrusão: Slackware com Snort + BarnYard2 e Snorby pelo Apache com módulo passenger e logs armazenados pelo MySQL.

[ Hits: 21.129 ]

Por: krum em 22/12/2014


Instalação e configuração do Snorby



Faremos o download do Snorby:

# wget --no-check-certificate https://snorby.org/redirect?version=2.6.2 -O snorby-2.6.2.tar.gz

Extrair os arquivos:

# tar -zxvf snorby-2.6.2.tar.gz -C /var/www/htdocs/

Vamos para o diretório:

# cd /var/www/htdocs

Renomear a pasta:

# mv snorby-2.6.2 snorby

Entrar na pasta de configuração do Snorby:

# cd snorby/config

Executar os comandos abaixo:

# cp snorby_config.yml.example snorby_config.yml
# cp database.yml.example database.yml


Configurar a base do Snorby para o MySQL:

# mysql -u root -p

Dentro do MySQL, execute os seguintes comandos:

MYSQL> create database snorby;
MYSQL> grant all privileges on snorby.* to snorby@localhost identified by 'password_mysql_snorby';
MYSQL> flush privileges;
MYSQL> exit;

Supondo que ainda esteja na pasta /var/www/htdocs/snorby/config, vamos editar o arquivo database.yml e fazer as devidas modificações, como abaixo.

Modifique as linhas de acordo com as suas configurações:

# mcedit database.yml

snorby: &snorby
   adapter: mysql
   username: snorby
   password: "password_mysql_snorby"
   host: localhost

Feche o arquivo e vá para um diretório abaixo.

# cd ..

Agora vamos instalar o Rails:

# gem update
# gem install rails

Neste momento você pode tomar um café e fazer outras coisas, vai demorar um pouco.

vamos instalar o Bundler:

# gem install bundler

Nesta parte vai demorar um pouco, mas nem tanto como acima.

Vamos rodar o Snorby:

# rake snorby:setup

Se nesse passo ocorreu um erro como abaixo:

  rake aborted!
  Gem::LoadError: You have already activated rake 10.4.2, but your Gemfile requires rake 0.9.2. Prepending `bundle exec` to your command may solve this.
  /var/www/htdocs/snorby/config/boot.rb:8:in `<top (required)>'
  /var/www/htdocs/snorby/config/application.rb:1:in `<top (required)>'
  /var/www/htdocs/snorby/Rakefile:4:in `<top (required)>'
  (See full trace by running task with --trace)


Quer dizer que você tem mais de um rake instalado e está tendo conflito, é preciso desinistalar as versões e manter a versão 0.9.2.

Execute:

# gem uninstall rake

Será listado os rake instalados, escolha as versões que não seja a 0.9.2

Select gem to uninstall:
   1. rake-0.9.2
   2. rake-0.9.2.2
   3. rake-10.4.2
   4. All versions
> 2

If you remove this gems, one or more dependencies will not be met.
Continue with Uninstall? [Yn]  y

Repita os passos até ficar somente a versão 0.9.2, que é a que precisamos.

Execute novamente o comando:

# rake snorby:setup

Neste momento será mostrada a seguinte saida:

  // This is the command's output
  ERROR 1007 (HY000) at line 1: Can't create database 'snorby'; database exists
  [datamapper] Finished auto_upgrade! for :default repository 'snorby'
  [~] Adding `index_timestamp_cid_sid` index to the event table
  [~] Adding `id` to the event table
  [~] Building `aggregated_events` database view
  [~] Building `events_with_join` database view
  * Removing old jobs
  * Starting the Snorby worker process.
  * Adding jobs to the queue


Este erro é normal, esta dizendo que a base snorby já foi criada.

Agora é so executar o snorby e fazer o teste, supondo que você ainda esteja na pasta /var/www/htdocs/snorby:

# rails server -e production

Você terá a seguinte saida:

  => Booting WEBrick
  => Rails 3.1.12 application starting in production on http://0.0.0.0:3000
  => Call with -d to detach
  => Ctrl-C to shutdown server
  [2014-12-08 10:30:24] INFO  WEBrick 1.3.1
  [2014-12-08 10:30:24] INFO  ruby 1.9.3 (2013-06-27) [x86_64-linux]
  [2014-12-08 10:30:24] INFO  WEBrick::HTTPServer#start: pid=30619 port=3000


Entre no IP do servidor pelo navegador: http://ip.do.teu.servidor:3000
Linux: Snort + BarnYard2 + Snorby no Slackware 14.1

  • Usuario: snorby@snorby.org
  • Senha: snorby

Temos algo como na imagem abaixo:
Linux: Snort + BarnYard2 + Snorby no Slackware 14.1

Agora vamos inserir a seguinte linha no final do arquivo /etc/barnyard2.conf para que o Snorby possa funcionar corretamente.

# vi /etc/barnyard2.conf

#SNORBY
output database: log, mysql, user=snorby password=password_mysql_snorby dbname=snorby host=localhost

Então, agora temos 2 entradas do MySQL no /etc/barnyard2.conf, a do Snort e a do Snorby. Isso mesmo.

Reinicie o serviço do Barnyard2:

# /etc/rc.d/rc.barnyard2 restart

Faça um teste no seu sistema para ver se teu sistema está capturando. Vá em outra maquina e rode o comando:

# nmap -d -sS -A ip.do.teu.servidor
# ping -c 10 ip.do.teu.servidor

Teremos a seguinte saída, como nas imagens abaixo:
Linux: Snort + BarnYard2 + Snorby no Slackware 14.1   Linux: Snort + BarnYard2 + Snorby no Slackware 14.1   Linux: Snort + BarnYard2 + Snorby no Slackware 14.1

Página anterior     Próxima página

Páginas do artigo
   1. O que é e como funciona uma ferramenta IDS
   2. Pacotes necessários e instalação
   3. Configuração do Snort e Barnyard2
   4. Instalação e configuração do Snorby
   5. Apache e Mod_passenger
   6. Instalando e configurando o Wkhtmltopdf
   7. Considerações finais
Outros artigos deste autor

Como montar imagem VDI (VirtualBox) no Linux

Leitura recomendada

Solução de backup para servidores Windows, Linux & BSD’s

Shellter Project - Ferramenta para bypass de AV

Implementação de NIDS com EasyIDS

Não precisamos de antivírus, eles sim

Instalando o Cisco VPN Client no Linux

  
Comentários
[1] Comentário enviado por fabio em 22/12/2014 - 13:27h

Excelente artigo, meus parabéns!

[2] Comentário enviado por danniel-lara em 22/12/2014 - 13:50h

Bah , que baita Artigo
já esta no favoritos


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts