Tutorial Snort e Guardian

Tutorial Snort e GuardianMYSQLPrimeiramente, iremos instalar e configurar nosso banco de dadosMySQL:

# aptitude install mysql-server

Depois de instalar, iremos criar o usurio "snort":

# mysql -u root -p

Entre com a senha de root que voc forneceu durante a instalao.

mysql>grant all privileges on snort.* to snort@localhost identified by "123456";mysql>quit;

Agora entre no MySQL usando o usurio que acabamos de criar:

# mysql -u snort -p

Informe a senha que utilizou para criar o usurio. Verifique as bases:

mysql>show databases;

Crie a base Snort no banco:

mysql>create database snort;

Saia:

mysql>quit

SNORTAgora hora de instalar o Snort:

# aptitude install snort-mysql

Durante a instalao, informe a faixa de rede e a mscara que sua rede usa. Depois voc ser questionado se deseja que seja criado uma base de dados para gravar os logs, selecione "Sim" e depois d OK.

Agora acesse o diretrio da documentao do Snort que contm as tabelas:

# cd /usr/share/doc/snort-mysql

Use o arquivo "create_mysql" para criar as tabelas na base Snort do banco:

# zcat create_mysql.gz | mysql -u snort -h localhost -p snort

Informe a senha do usurio "snort". Depois acesse a base Snort do banco e verifique se as tabelas foram criadas com sucesso:

# mysql -u snort -p

(Entre com a senha do usurio snort)

mysql>show databases;mysql>use snort;mysql>show tables;mysql>status;mysql>quit;

V ate o diretrio onde esto os arquivos de configurao do Snort:

# cd /etc/snort

Renomeie o arquivo "snort.conf":

# mv snort.conf snort.conf.orig

Crie uma cpia do arquivo que acabamos de renomear sem os comentrios, para o arquivo ficar menor e mais legvel:

# cat snort.conf.orig | grep -v ^# | grep . > snort.conf

Agora vamos editar o arquivo "snort.conf":

# pico snort.conf

Na primeira linha (var HOME_NET any) remova o "any" e digite a faixa de rede/mscara:

var HOME_NET 192.168.0.0/24

Agora, quase no final do arquivo, abaixo da linha (output log_tcpdump: tcpdump.log), digite o seguinte:

output database: log, mysql, user=snort password=123456 dbname=snort host=localhostoutput alert_full: /var/log/snort/alert

Entendendo: Na primeira linha informamos o nome de usurio da banco, a senha, o nome da base e o host do banco. No exemplo estou usandolocalhost, mas muito importante voc colocar o banco de dados em outro servidor. J na segunda linha, informamos o Snort para gerar os logs no arquivo alert.

Agora v at o arquivo "snort.debian.conf" e d uma olhada na linha (DEBIAN_SNORT_INTERFACE="eth0"), mude-a caso deseje que o Snort escute em outra interface.

Remova o arquivo de pendncia de configurao do banco de dados:

# rm db-pending-config

Entre no arquivo/etc/snort/database.confe comente a seguinte linha:

### output database: log, mysql,

Depois disso, pode iniciar o Snort:

# /etc/init.d/snort start

Faa um teste, fique monitorando o arquivo de log do Snort:

# tail -f /var/log/snort/alert

E em outra mquina, use oNmappara escanear o host do Snort:

# nmap -sX 192.168.0.1

Obs.: Esse o IP do Snort no meu laboratrio.

Fique acompanhando o arquivo "alert" e veja o que acontece.

Pronto. At aqui j temos o Snort pronto para gerar os alertas e gravar no banco de dados, mas ele ainda no capaz de bloquear nada, pois no est com oIPS Guardian. Vamos fazer isso agora.

GUARDIANPrimeiro baixaremos o Guardian:

# cd /opt# wget -cvhttp://www.chaotic.org/guardian/guardian-1.7.tar.gz

Agora iremos descompactar:

# tar -xvzf guardian-1.7.tar.gz# cd guardian-1.7

Editar o arquivo "guardian.conf":

# pico guardian.conf

Informar o IP do servidor na linha HostIpAddr:

HostIpAddr192.168.0.1

Informe a interface na linha Interface:

Interfaceeth0

Na linha "AlertFile", informe o caminho do arquivo "alert":

AlertFile/var/log/snort/alert

Salve o arquivo e copie para o/etc/:

# cp guardian.conf /etc/

Crie o arquivo/etc/guardian.ignoree nele informe os IPs que sero ignorados pelo Guardian. No caso, pode colocar o IP do servidor:

# pico /etc/guardian.ignore

192.168.0.1

Copiaremos os scripts de bloqueio e desbloqueio:

# cd scripts# cp iptables_block.sh /sbin/guardian_block.sh# cp iptables_unblock.sh /sbin/guardian_unblock.sh

Caso seu sistema esteja em portugus, edite o arquivo "guardian.pl":

# cd /opt/guardian-1.7# pico guardian.pl

Procure pela linha que contm "inet addr" (linha 320) e mude para:

inet end

Salve o arquivo e copie para o/sbin/:

# cp guardian.pl /sbin

Crie o arquivo de log do Guardian:

# touch /var/log/guardian.log

Criaremos o script para o Guardian ser executado automaticamente durante o boot:

# pico /etc/init.d/guardian

#!/bin/bash

test -f /sbin/guardian.pl || exit 0case "$1" instart)guardian.pl -c /etc/guardian.conf;;stop)kill -9 $(pgrep guardian.pl);;*)echo "Opo invalida. Use start ou stop."exit 2;;esacexit 0

D permisso de execuo para o script:

# chmod 755 /etc/init.d/guardian

Agora pode iniciar o Guardian com o comando:

# /etc/init.d/guardian start

E parar com o:

# /etc/init.d/guardian stop

Habilite o Guardian para ser executado durante o boot com o assistentercconf:

# aptitude install rcconf# rcconf

Marque a opo do Guardian e d OK.

CONCLUSOAgora s fazer os testes e ver se est tudo OK. O Guardian est bloqueando ataques, voc pode usar o mesmo teste antes de executar oNmapcomo mostrado acima e ver se o Guardian vai bloquear o IP do atacante.

Pessoal, isso a. Espero que tenham gostado do post. Adiante postarei um artigo de instalao e configurao do Snort com oBarnyard2mais o Guardian e suporte ao MySQL.

Tutorial Snort e Guardian

Documents

Transcript of Tutorial Snort e Guardian