Instalando o Snort no Debian
Publicado por Leonardo Damasceno em 16/09/2009
[ Hits: 26.326 ]
Blog: https://techcraic.wordpress.com
Instalando o Snort no Debian
Snort é um "farejador" que analisa todo o tráfego da rede, porém não toma nenhuma atitude. Neste tutorial você verá como integrar o Snort com o Guardian. O Guardian, por sua vez, toma a ação de atualizar o iptables com os alertas gerados pelo Snort, ou seja, ele interpreta o log do Snort e atualiza a regra do iptables.
Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:
Agora vamos atualizar a lista de pacotes:
# apt-get update
Criar diretório IDS na raiz:
# mkdir /IDS
Criar diretório para instalação do http:
# mkdir /www
Copiar todos os pacotes para /IDS:
# cp snort-xxx.tar.gz /IDS
# cp http-xxx.tar.gz /IDS
Descompactar em /IDS e fazer a compilação:
# tar -zxvf http-xxx.tar.gz
# cd http-xxx
Obs.: Verifique se o pacote build-essential está instalado, pois utilizaremos o compilador GCC e esse pacote já vem o GCC e outros softwares. Caso não esteja devidamente instalado, utilize:
# apt-get -y install build-essential
# ./configure --prefix=/www
# make && make install
Verifique se o iptables está instalado e sua versão utilizando:
# iptables -V
Antes de instalar o Snort, vamos instalar a Libcap, que é necessária para a instalação do Snort:
# apt-cache search libpcap
(assim verificamos o nome e a versão do pacote)
# apt-get -y install libpcap0.8-dev
Foi utilizada a versão 0.8 da libpcap.
Precisamos instalar também o Libpcre:
# apt-get -y install libpcre3-dev
Agora vamos instalar o Snort-xxx:
# tar -zxvf snort-xxx.tar.gz
# cd snort-xxx
# ./configure
# make && make install
Crie os seguintes diretórios:
# mkdir /etc/snort
# mkdir /etc/snort/rules
Ainda no diretório /IDS/snort-xxx faça:
# cd etc/
# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/
Agora vamos colocar as rules baixadas do site snort.org (lembrando que é necessário ter login no referido site para baixar as rules):
# cd /IDS
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cd rules
# cp * /etc/snort/rules
Obs.: O link direto para download é: snortrules-snapshot-CURRENT.tar.gz
Para isso você precisa ter login, mas para criar seu login no site é FREE, grátis. :)
Crie o arquivo que irá guardar os logs:
# mkdir /var/log/snort
# cd /var/log/snort
# touch alert
Para rodar o Snort, edite o arquivo:
# vim /etc/snort/snort.conf
Altere a linha:
var RULE_PATH ../rules
Para:
E faça assim:
# snort -c /etc/snort/snort.conf -o
Ou melhor:
# snort -c /etc/snort/snort.conf -o -i eth0 -D
Definição do Guardian:
"O Guardian, é uma ferramenta que lê os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou você." - Snort + MySQL + Guardian + ACID - ataliba.eti.br
Agora vamos instalar o Guardian:
# cd /IDS
# tar -zxvf guardian-1.7.tar.gz
# cd guardian-1.7/scripts
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie:
# cp iptables_block.sh /usr/bin/guardian_block.sh
# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
# cd ..
# cp guardian.pl /usr/bin
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
Vamos configurar alguns parâmetros no guardian.conf:
Crie o arquivo de log do guardian:
# touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:
# touch /etc/guardian.ignore
Inicie o Guardian:
# guardian.pl -c /etc/guardian.conf
Caso retorne um erro relacionado a seu IP, ex.:
Warning! HostIpAddr undefined!
Attempting to guess...
Abra o arquivo /etc/guardian.conf, no começo do arquivo, descomente a linha:
# HostIpAddr
Deixando assim:
Ex.: HostIpAddr 192.168.0.102
Agora, tente de novo iniciar o Guardian...
Para visualizar o log use:
# tail -f /var/log/snort/alert
Uma observação importante é que o Snort, com o pacote básico das regras, gera muitos falsos positivos, porém serve muito bem, mas caso você tenha uma rede grande, e queira um alto nível de segurança, seria bom comprar as regras!
Onde comprar? No próprio site do Snort
Outra coisa que queria deixar bem claro é que não houve cópia, esse tutorial realmente foi TOTALMENTE elaborado por mim e postado em meu blog:
Porém, faz muito tempo que o fiz, então, busquei algumas referências em blogs e outros sites, mas não me lembro de todos.
Um abraço :)
Referências:
Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:
deb http://ftp.us.debian.org/debian lenny main contrib non-free
deb http://de.debian.org/debian squeeze main
deb http://de.debian.org/debian squeeze main
Agora vamos atualizar a lista de pacotes:
# apt-get update
Criar diretório IDS na raiz:
# mkdir /IDS
Criar diretório para instalação do http:
# mkdir /www
Copiar todos os pacotes para /IDS:
# cp snort-xxx.tar.gz /IDS
# cp http-xxx.tar.gz /IDS
Descompactar em /IDS e fazer a compilação:
# tar -zxvf http-xxx.tar.gz
# cd http-xxx
Obs.: Verifique se o pacote build-essential está instalado, pois utilizaremos o compilador GCC e esse pacote já vem o GCC e outros softwares. Caso não esteja devidamente instalado, utilize:
# apt-get -y install build-essential
# ./configure --prefix=/www
# make && make install
Verifique se o iptables está instalado e sua versão utilizando:
# iptables -V
Antes de instalar o Snort, vamos instalar a Libcap, que é necessária para a instalação do Snort:
# apt-cache search libpcap
(assim verificamos o nome e a versão do pacote)
# apt-get -y install libpcap0.8-dev
Foi utilizada a versão 0.8 da libpcap.
Precisamos instalar também o Libpcre:
# apt-get -y install libpcre3-dev
Agora vamos instalar o Snort-xxx:
# tar -zxvf snort-xxx.tar.gz
# cd snort-xxx
# ./configure
# make && make install
Crie os seguintes diretórios:
# mkdir /etc/snort
# mkdir /etc/snort/rules
Ainda no diretório /IDS/snort-xxx faça:
# cd etc/
# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/
Agora vamos colocar as rules baixadas do site snort.org (lembrando que é necessário ter login no referido site para baixar as rules):
# cd /IDS
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cd rules
# cp * /etc/snort/rules
Obs.: O link direto para download é: snortrules-snapshot-CURRENT.tar.gz
Para isso você precisa ter login, mas para criar seu login no site é FREE, grátis. :)
Crie o arquivo que irá guardar os logs:
# mkdir /var/log/snort
# cd /var/log/snort
# touch alert
Para rodar o Snort, edite o arquivo:
# vim /etc/snort/snort.conf
Altere a linha:
var RULE_PATH ../rules
Para:
var RULE_PATH /etc/snort/rules
E faça assim:
# snort -c /etc/snort/snort.conf -o
Ou melhor:
# snort -c /etc/snort/snort.conf -o -i eth0 -D
Definição do Guardian:
"O Guardian, é uma ferramenta que lê os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou você." - Snort + MySQL + Guardian + ACID - ataliba.eti.br
Agora vamos instalar o Guardian:
# cd /IDS
# tar -zxvf guardian-1.7.tar.gz
# cd guardian-1.7/scripts
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie:
# cp iptables_block.sh /usr/bin/guardian_block.sh
# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
# cd ..
# cp guardian.pl /usr/bin
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
Vamos configurar alguns parâmetros no guardian.conf:
Interface eth0 #Interface eth0, a que terá os terminais bloqueados
AlertFile /var/adm/secure #Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.
AlertFile /var/adm/secure #Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.
Crie o arquivo de log do guardian:
# touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:
# touch /etc/guardian.ignore
Inicie o Guardian:
# guardian.pl -c /etc/guardian.conf
Caso retorne um erro relacionado a seu IP, ex.:
Warning! HostIpAddr undefined!
Attempting to guess...
Abra o arquivo /etc/guardian.conf, no começo do arquivo, descomente a linha:
# HostIpAddr
Deixando assim:
HostIpAddr SEUIP
Ex.: HostIpAddr 192.168.0.102
Agora, tente de novo iniciar o Guardian...
Para visualizar o log use:
# tail -f /var/log/snort/alert
Uma observação importante é que o Snort, com o pacote básico das regras, gera muitos falsos positivos, porém serve muito bem, mas caso você tenha uma rede grande, e queira um alto nível de segurança, seria bom comprar as regras!
Onde comprar? No próprio site do Snort
Outra coisa que queria deixar bem claro é que não houve cópia, esse tutorial realmente foi TOTALMENTE elaborado por mim e postado em meu blog:
Porém, faz muito tempo que o fiz, então, busquei algumas referências em blogs e outros sites, mas não me lembro de todos.
Um abraço :)
Referências:
Outras dicas deste autor
Visualizar informações do seu GNU/Linux
Criando um "pendrive live" com uma imagem .img
Inserindo data e hora no comando history
Leitura recomendada
IWD - Sistema HelpDesk voltado a empresas de suporte
As 10 distribuições mais populares
Instalando o Kile no Ubuntu 5.10
Firebird - Como localizar GENERATORS de uma tabela
Comentários
[1] Comentário enviado por xlipesousa em 14/03/2013 - 11:55h
Olá, instalei o Snort + Guardian e estava funcionando legal, depois que instalei o MySQL e configurei o BASE (acidbase) o Snort parou de gerar logs no /var/log/snort/alert, com isso o Guardian parou de bloquear também. Vejo todos os pacotes pelo BASE e a conexão com o banco está ok, mas nada de log. Alguém pode me ajudar?
Olá, instalei o Snort + Guardian e estava funcionando legal, depois que instalei o MySQL e configurei o BASE (acidbase) o Snort parou de gerar logs no /var/log/snort/alert, com isso o Guardian parou de bloquear também. Vejo todos os pacotes pelo BASE e a conexão com o banco está ok, mas nada de log. Alguém pode me ajudar?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.031 pts -
Fábio Berbert de Paula
2° lugar - 48.413 pts -
Buckminster
3° lugar - 18.382 pts -
Mauricio Ferrari
4° lugar - 14.554 pts -
Alberto Federman Neto.
5° lugar - 13.298 pts -
Diego Mendes Rodrigues
6° lugar - 12.658 pts -
Daniel Lara Souza
7° lugar - 12.489 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.854 pts -
Andre (pinduvoz)
9° lugar - 10.655 pts -
edps
10° lugar - 10.276 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
