Você aprenderá a configurar o SNORT que é uma poderosa ferramenta de sistema de detecção de intruso, muito conhecida e utilizada em servidores linux.O
SNORT é uma ferramenta
NIDS (Network Intruder Detection System) desenvolvida por Martin Roesch, bastante popular por sua flexibilidade nas configurações de regras e constante atualização. O
Guardian funciona em conjunto com o
Snort. Ele atualiza automaticamente as regras de vários firewalls ( ipfw, iptables, etc ) com base nos alertas gerados pelo
Snort. O trabalho conjunto do
Snort e do
Guardian torna possível ações reativas em caso de intrusão e prevenção de ataques futuros.
Pacotes básicos
===============
sudo apt-get install apache2 mysql-server php5 php5-mysql libmysqlclient12-dev php5-gd php-pear php-image-canvas php-image-graph libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev
Crie um diretório para temp
mkdir ~/tempBaixe o
ADODBcd ~/tempwget http://ufpr.dl.sourceforge.net/sourceforge/adodb/adodb493a.tgzBaixe o
Basewget http://ufpr.dl.sourceforge.net/sourceforge/secureideas/base-1.2.7.tar.gzBaixe o
Snortwget http://www.snort.org/dl/current/snort-2.6.1.2.tar.gzBaixe o
PCREwget http://ufpr.dl.sourceforge.net/sourceforge/pcre/pcre-7.0.tar.gzCrie um arquivo index.php
sudo vi /var/www/index.phpcopiar o conteúdo abaixo:
<?php
phpinfo();
?>
Teste funcionamento do Apache acesso o servidor digitando http://localhost/ na barra de endereços do navegador. Compilar e Instalar o
PCREsudo tar zxf pcre-7.0.tar.gz
cd pcre-7.0
sudo ./configure
sudo make
sudo make install
Compilar e Instalar o
SnortCrie um link simbólico para o arquivo cc1plus, necessário para compilar o snort
sudo ln -s /usr/lib/gcc/i486-linux-gnu/4.1.2/cc1 /usr/bin/cc1plusCompile o
Snortsudo tar zxf snort-2.6.1.2.tar.gz
cd snort-2.6.1.2
sudo ./configure --with-mysql=/usr
sudo make
sudo make install
Crie diretório /etc/snort/
sudo mkdir /etc/snortCopie o arquivo
snort.conf para o diretório /etc/snort
sudo cp ~/temp/snort-2.6.1.2/etc/snort.conf /etc/snort/Baixe as regras
OBS: Existem 3 tipos de download de regras do snort
1. Subscrição - Pago
2. Registrado - Gratuito
3. Comunidade - Gratuito
Aconselho você baixar o registrado, porque são regras atualizadas. Para isso clique no link download do pacote
nortrules-snapshot-CURRENT.tar.gz e faça
seu registro.
Salve o arquivo no diretório /etc/snort e descompacte-o.
Configurando o Snort====================
Edite o arquivo /etc/snort/snort.conf alterando as entradas abaixo
sudo vi /etc/snort/snort.confvar HOME_NET any #Para capturar todos as redes
var EXTERNAL_NET !$HOME_NET #Tudo o que não for HOME_NET é externo
var RULE_PATH /etc/snort/rules #Caminho para as regras
output database: log, mysql, user=snort password= dbname=snort host=localhost
Configurando o Mysql===================
Configure a base de dados do
Snort no
MySQL:
sudo mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('password');
Query OK, 0 rows affected (0.25 sec)
mysql> create database snort;
Query OK, 1 row affected (0.01 sec)
mysql> grant INSERT,SELECT on root.* to snort@localhost;
Query OK, 0 rows affected (0.02 sec)
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('password_do_snort.conf');
Query OK, 0 rows affected (0.25 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
Query OK, 0 rows affected (0.02 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
Query OK, 0 rows affected (0.02 sec)
mysql> exit
Bye
Crie as tabelas
sudo mysql -u root -p < ~/temp/snort-2.6.1.2/schemas/create_mysql snortVerifique se a base de dados do Snort foi criada corretamente
sudo mysql -pmysql> SHOW DATABASES;
--------------------
| Database |
--------------------
| information_schema |
| mysql |
| snort |
--------------------
3 rows in set (0.01 sec)
mysql> use snort
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> SHOW TABLES;
------------------
| Tables_in_snort |
------------------
| acid_ag |
| acid_ag_alert |
| acid_event |
| acid_ip_cache |
| base_roles |
| base_users |
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+------------------+
22 rows in set (0.01 sec)
Instale o
ADODBsudo cp ~/temp/adodb493a.tgz /var/www/
cd /var/www/
sudo tar zxf adodb493a.tgz
sudo rm adodb493a.tgz
Instale e configure o
BASEsudo mkdir -p /var/www/html
sudo cp ~/temp/base-1.2.7.tar.gz /var/www/html
cd /var/www/html
sudo tar zxf base-1.2.7.tar.gz
sudo rm base-1.2.7.tar.gz
sudo mv base-1.2.7 base
cd /var/www/html/base
sudo cp base_conf.php.dist base_conf.php
Edite o ficheiro /var/www/html/base/base_conf.php e altere os parâmetros
$BASE_urlpath = '/html/base';
$DBlib_path = '/var/www/adodb/';
$DBtype = 'mysql';
$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_port = '';
$alert_user = 'snort';
$alert_password = 'senha_usuario_snort';
/* Archive DB connection parameters */
$archive_exists = 0; # Set this to 1 if you have an archive DB
Crie no diretório /etc/snort/rules os seguintes arquivos. Faça isso usando o comando touch
local.rules
exploit.rules
bad-traffic.rules
scan.rules
finger.rules
ftp.rules
telnet.rules
rpc.rules
rservices.rules
dos.rules
ddos.rules
dns.rules
tftp.rules
web-cgi.rules
web-coldfusion.rules
web-iis.rules
web-frontpage.rules
web-misc.rules
web-client.rules
web-php.rules
sql.rules
x11.rules
icmp.rules
netbios.rules
misc.rules
attack-responses.rules
oracle.rules
mysql.rules
snmp.rules
smtp.rules
imap.rules
pop2.rules
pop3.rules
nntp.rules
other-ids.rules
experimental.rules
Inicie o snort
sudo snort -c /etc/snort/snort.conf &Consulte o
BASE, executando no navegador
http://localhost/html/base
Na página inicial de setup do
BASE clicar no link
SETUP PAGE e de seguida no botão
CREATE AG. Agora você poderá verificar o log do snort via web.
Instalando o
GuardianBaixe o fonte do
Guardiancd ~/temp
wget http://www.chaotic.org/guardian/guardian-1.7.tar.gz
Copie para o diretório /usr/src e descompacte
sudo cp guardian-1.7.tar.gz /usr/src
tar xzf guardian-1.7.tar.gz
cd guardian-1.7
cd scripts
Liste o conteúdo do diretório scripts e verifique se ele contem os arquivos abaixo:
freebsd_block.sh guardian_unblock.sh ipfwadm_block.sh iptables_unblock.sh
freebsd_unblock.sh ipchain_block.sh ipfwadm_unblock.sh nullroute_block.sh
guardian_block.sh ipchain_unblock.sh iptables_block.sh nullroute_unblock.sh
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh . Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. No nosso caso usaremos o iptables
sudo cp iptables_block.sh /usr/bin/guardian_block.sh
sudo cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
sudo chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
Copie o script e o arquivo de configuração do
Guardian para os locais correspondentes
cd ..
sudo cp guardian.pl /usr/bin
sudo chmod 755 /usr/bin/guardian.pl
sudo cp guardian.conf /etc/
Configure os seguintes parâmetros no arquivo /etc/guardian.conf
Interface eth0 # Interface eth0, a que vai ter os terminais bloqueados
AlertFile /var/adm/secure # Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.
Crie o arquivo de log do Guardian
touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar
touch /etc/guardian.ignore
Inicie o Guardian
guardian.pl -c /etc/guardian.conf
LINKS
=====
- ADODB - http://prdownloads.sourceforge.net/adodb/
- BASE - http://prdownloads.sourceforge.net/secureideas/
- Snort - http://www.snort.org
- Snort Rules - http://www.snort.org/pub-bin/downloads.cgi
- PCRE - http://prdownloads.sourceforge.net/pcre/
- Guardian - http://www.chaotic.org/guardian/
Esse texto é de autoria de Alexandro Silva