Snort + MySQL + Guardian - Instalação e configuração

rick_G

Neste artigo aprenderemos, passo a passo, como instalar e configurar o Snort com suporte a MySQL e integrado com o Guardian.

[ Hits: 46.883 ]

Por: Rick em 07/02/2013 | Blog: http://www.guiadoti.com

2 0

Denuncie Favoritos Indicar Impressora

Guardian

Primeiro baixaremos o Guardian:

# cd /opt
# wget -cv http://www.chaotic.org/guardian/guardian-1.7.tar.gz

Agora iremos descompactar:

# tar -xvzf guardian-1.7.tar.gz
# cd guardian-1.7

Editar o arquivo "guardian.conf":

# pico guardian.conf

Informar o IP do servidor na linha HostIpAddr:

HostIpAddr 192.168.0.1

Informe a interface na linha Interface:

Interface eth0

Na linha "AlertFile", informe o caminho do arquivo "alert":

AlertFile /var/log/snort/alert

Salve o arquivo e copie para o /etc/:

# cp guardian.conf /etc/

Crie o arquivo /etc/guardian.ignore e nele informe os IPs que serão ignorados pelo Guardian. No caso, pode colocar o IP do servidor:

# pico /etc/guardian.ignore

192.168.0.1

Copiaremos os scripts de bloqueio e desbloqueio:

# cd scripts
# cp iptables_block.sh /sbin/guardian_block.sh
# cp iptables_unblock.sh /sbin/guardian_unblock.sh

Caso seu sistema esteja em português, edite o arquivo "guardian.pl":

# cd /opt/guardian-1.7
# pico guardian.pl

Procure pela linha que contém "inet addr" (linha 320) e mude para:

inet end

Salve o arquivo e copie para o /sbin/:

# cp guardian.pl /sbin

Crie o arquivo de log do Guardian:

# touch /var/log/guardian.log

Criaremos o script para o Guardian ser executado automaticamente durante o boot:

# pico /etc/init.d/guardian

#!/bin/bash

test -f /sbin/guardian.pl || exit 0
case "$1" in
    start)
          guardian.pl -c /etc/guardian.conf
          ;;
    stop)
          kill -9 $(pgrep guardian.pl)
          ;;
    *)
          echo "Opção invalida. Use start ou stop."
          exit 2
          ;;
esac
exit 0

Dê permissão de execução para o script:

# chmod 755 /etc/init.d/guardian

Agora pode iniciar o Guardian com o comando:

# /etc/init.d/guardian start

E parar com o:

# /etc/init.d/guardian stop

Habilite o Guardian para ser executado durante o boot com o assistente rcconf:

# aptitude install rcconf
# rcconf

Marque a opção do Guardian e dê OK.

Conclusão

Agora é só fazer os testes e ver se está tudo OK. O Guardian está bloqueando ataques, você pode usar o mesmo teste antes de executar o Nmap como mostrado acima e ver se o Guardian vai bloquear o IP do atacante.

Pessoal, é isso aí. Espero que tenham gostado do post. Adiante postarei um artigo de instalação e configuração do Snort com o Barnyard2 mais o Guardian e suporte ao MySQL.

Até a próxima.

Artigo também publicado em: Guia do TI: Instalando e Configurando Snort-Mysql + Guardian

Página anterior

Páginas do artigo

   1. Introdução
   2. Snort
   3. Guardian

Outros artigos deste autor

Syslog-NG - Configurando um servidor de logs

Samba PDC com Debian Squeeze

storage FreeNas 9.2.1.6 - Instalação e configuração

Monitoramento com Zabbix 2.0

Instalando FreeNAS 8.3.0 e criando Storage iSCSI

Leitura recomendada

Gerenciamento de segurança da informação com open source (parte 1)

Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

Backup gerenciável usando tar

Labrador, um detector de intrusos

Autenticação via hardware: o módulo pam_blue

Comentários

[1] Comentário enviado por danniel-lara em 07/02/2013 - 15:18h

Parabéns pelo Artigo

0 0

[2] Comentário enviado por c4rnivor3 em 17/02/2013 - 15:39h

Muito bom o Artigo. Segui a risca, e me sai super bem; graças as boas explicações dadas por ti. Obrigado!
Só um pequeno detalhe. Não consegui achar esse arquivo: /etc/snort/database.conf. Mas está funcionando tudo certinho!

0 0

[3] Comentário enviado por rick_G em 18/02/2013 - 10:43h

Oi c4rnivor3, estranho não ter o arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, mas se fosse você faria um teste em uma maquina virtual pra ver, derrepente foi algum problema na hora da instalação.

0 0

[4] Comentário enviado por ffontana em 24/09/2013 - 10:57h

Não estou conseguindo monitorar o host pelo nmap, estou executando o nmap em uma maquina Windows mais ele me retorna com essa mensagem:

Starting Nmap 6.40 ( http://nmap.org ) at 2013-09-24 10:56 Hora oficial do Brasil

Nmap scan report for 192.168.0.8

Host is up (0.0064s latency).

All 1000 scanned ports on 192.168.0.8 are closed

MAC Address: 42:61:83:D1:6A:10 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 10.49 seconds

Gostaria de saber se é essa realmente a informação que ele deve me passar ou se tem algo de errado, muito obrigado desde já.

0 0

[5] Comentário enviado por Samuray007 em 18/11/2013 - 18:52h

Muito obrigado pelo excelente tutorial. Segui a risca e instalou direitinho.
Grato.

0 0

[6] Comentário enviado por kgvinhas em 01/06/2015 - 18:01h

cara muito bom, salvou meu tcc... mais nao consigo baixar o guardian..diz que o nome ou serviço chaotic.org desconhecido

0 0