Tutorial Snort e Guardian
-
Upload
kleber-alves-de-souza -
Category
Documents
-
view
36 -
download
21
description
Transcript of Tutorial Snort e Guardian
Tutorial Snort e GuardianMYSQLPrimeiramente, iremos instalar e configurar nosso banco de dadosMySQL:
# aptitude install mysql-server
Depois de instalar, iremos criar o usurio "snort":
# mysql -u root -p
Entre com a senha de root que voc forneceu durante a instalao.
mysql>grant all privileges on snort.* to snort@localhost identified by "123456";mysql>quit;
Agora entre no MySQL usando o usurio que acabamos de criar:
# mysql -u snort -p
Informe a senha que utilizou para criar o usurio. Verifique as bases:
mysql>show databases;
Crie a base Snort no banco:
mysql>create database snort;
Saia:
mysql>quit
SNORTAgora hora de instalar o Snort:
# aptitude install snort-mysql
Durante a instalao, informe a faixa de rede e a mscara que sua rede usa. Depois voc ser questionado se deseja que seja criado uma base de dados para gravar os logs, selecione "Sim" e depois d OK.
Agora acesse o diretrio da documentao do Snort que contm as tabelas:
# cd /usr/share/doc/snort-mysql
Use o arquivo "create_mysql" para criar as tabelas na base Snort do banco:
# zcat create_mysql.gz | mysql -u snort -h localhost -p snort
Informe a senha do usurio "snort". Depois acesse a base Snort do banco e verifique se as tabelas foram criadas com sucesso:
# mysql -u snort -p
(Entre com a senha do usurio snort)
mysql>show databases;mysql>use snort;mysql>show tables;mysql>status;mysql>quit;
V ate o diretrio onde esto os arquivos de configurao do Snort:
# cd /etc/snort
Renomeie o arquivo "snort.conf":
# mv snort.conf snort.conf.orig
Crie uma cpia do arquivo que acabamos de renomear sem os comentrios, para o arquivo ficar menor e mais legvel:
# cat snort.conf.orig | grep -v ^# | grep . > snort.conf
Agora vamos editar o arquivo "snort.conf":
# pico snort.conf
Na primeira linha (var HOME_NET any) remova o "any" e digite a faixa de rede/mscara:
var HOME_NET 192.168.0.0/24
Agora, quase no final do arquivo, abaixo da linha (output log_tcpdump: tcpdump.log), digite o seguinte:
output database: log, mysql, user=snort password=123456 dbname=snort host=localhostoutput alert_full: /var/log/snort/alert
Entendendo: Na primeira linha informamos o nome de usurio da banco, a senha, o nome da base e o host do banco. No exemplo estou usandolocalhost, mas muito importante voc colocar o banco de dados em outro servidor. J na segunda linha, informamos o Snort para gerar os logs no arquivo alert.
Agora v at o arquivo "snort.debian.conf" e d uma olhada na linha (DEBIAN_SNORT_INTERFACE="eth0"), mude-a caso deseje que o Snort escute em outra interface.
Remova o arquivo de pendncia de configurao do banco de dados:
# rm db-pending-config
Entre no arquivo/etc/snort/database.confe comente a seguinte linha:
### output database: log, mysql,
Depois disso, pode iniciar o Snort:
# /etc/init.d/snort start
Faa um teste, fique monitorando o arquivo de log do Snort:
# tail -f /var/log/snort/alert
E em outra mquina, use oNmappara escanear o host do Snort:
# nmap -sX 192.168.0.1
Obs.: Esse o IP do Snort no meu laboratrio.
Fique acompanhando o arquivo "alert" e veja o que acontece.
Pronto. At aqui j temos o Snort pronto para gerar os alertas e gravar no banco de dados, mas ele ainda no capaz de bloquear nada, pois no est com oIPS Guardian. Vamos fazer isso agora.
GUARDIANPrimeiro baixaremos o Guardian:
# cd /opt# wget -cvhttp://www.chaotic.org/guardian/guardian-1.7.tar.gz
Agora iremos descompactar:
# tar -xvzf guardian-1.7.tar.gz# cd guardian-1.7
Editar o arquivo "guardian.conf":
# pico guardian.conf
Informar o IP do servidor na linha HostIpAddr:
HostIpAddr192.168.0.1
Informe a interface na linha Interface:
Interfaceeth0
Na linha "AlertFile", informe o caminho do arquivo "alert":
AlertFile/var/log/snort/alert
Salve o arquivo e copie para o/etc/:
# cp guardian.conf /etc/
Crie o arquivo/etc/guardian.ignoree nele informe os IPs que sero ignorados pelo Guardian. No caso, pode colocar o IP do servidor:
# pico /etc/guardian.ignore
192.168.0.1
Copiaremos os scripts de bloqueio e desbloqueio:
# cd scripts# cp iptables_block.sh /sbin/guardian_block.sh# cp iptables_unblock.sh /sbin/guardian_unblock.sh
Caso seu sistema esteja em portugus, edite o arquivo "guardian.pl":
# cd /opt/guardian-1.7# pico guardian.pl
Procure pela linha que contm "inet addr" (linha 320) e mude para:
inet end
Salve o arquivo e copie para o/sbin/:
# cp guardian.pl /sbin
Crie o arquivo de log do Guardian:
# touch /var/log/guardian.log
Criaremos o script para o Guardian ser executado automaticamente durante o boot:
# pico /etc/init.d/guardian
#!/bin/bash
test -f /sbin/guardian.pl || exit 0case "$1" instart)guardian.pl -c /etc/guardian.conf;;stop)kill -9 $(pgrep guardian.pl);;*)echo "Opo invalida. Use start ou stop."exit 2;;esacexit 0
D permisso de execuo para o script:
# chmod 755 /etc/init.d/guardian
Agora pode iniciar o Guardian com o comando:
# /etc/init.d/guardian start
E parar com o:
# /etc/init.d/guardian stop
Habilite o Guardian para ser executado durante o boot com o assistentercconf:
# aptitude install rcconf# rcconf
Marque a opo do Guardian e d OK.
CONCLUSOAgora s fazer os testes e ver se est tudo OK. O Guardian est bloqueando ataques, voc pode usar o mesmo teste antes de executar oNmapcomo mostrado acima e ver se o Guardian vai bloquear o IP do atacante.
Pessoal, isso a. Espero que tenham gostado do post. Adiante postarei um artigo de instalao e configurao do Snort com oBarnyard2mais o Guardian e suporte ao MySQL.