Detecção de Intrusão: Snort, Base, MySQL e Apache2 no Ubuntu 7.10 (Gutsy Gibbon) (Atualizado)

Este tutorial é baseado em outro howto escrito por DevilMan, no entanto, eu não gostei da ideia de compilar manualmente cada pacote ou do uso de uma GUI para instalar o software. Este howto funcionará em um servidor Gutsy ou desktop Gutsy. Dito isso, parte deste howto é uma cópia direta do original.

Neste tutorial, descreverei como instalar e configurar o Snort (um sistema de detecção de intrusão (IDS)) a partir do código-fonte, BASE (Basic Analysis and Security Engine), MySQL e Apache2 no Ubuntu 7.10 (Gutsy Gibbon). O Snort ajudará você a monitorar sua rede e alertá-lo sobre possíveis ameaças. O Snort enviará seus arquivos de log para um banco de dados MySQL que o BASE usará para exibir uma interface gráfica em um navegador da web.

1. Ganhar privilégios de root

É mais fácil fazer esta instalação como usuário root.

sudo su -

2. Instalar alguns pacotes

O seguinte instalará todos os pacotes necessários para fazer esta configuração funcionar:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev

3. Obter e compilar o snort

O pacote Snort nos repositórios Gutsy está desatualizado. Portanto, preferi baixar a versão mais atual e instalá-la. Esta é a única coisa que compilaremos do zero.

A versão mais recente do snort no momento da escrita é 2.8.0.1

Primeiro, vamos para um diretório de trabalho:

cd /usr/src/

Abra um navegador da web e navegue até http://www.snort.org/dl, clique com o botão direito na versão mais recente e copie o local do link.

a. Baixar snort e regras do snort

wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz

Existem algumas opções para regras. O seguinte baixará as regras públicas, no entanto, com um rápido registro no site do snort, você pode obter regras mais atuais. Sua escolha, mas o próximo comando é executado da mesma forma com a URL apropriada:

wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

b. Descompactar e prepará-las para compilação

tar zxvf snort-2.8.0.1.tar.gz  
cd snort-2.8.0.1  
tar zxvf ../snortrules-pr-2.4.tar.gz

c. Agora compile-as

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Mantenha este diretório à mão, pois você pode simplesmente executar

make uninstall

Para desinstalar o snort mais tarde, se você escolher

d. Mover as coisas para a posição

Agora precisamos mover as regras e a configuração do snort para a posição

mkdir /etc/snort /etc/snort/rules /var/log/snort  
cd /usr/src/snort-2.8.0.1/etc  
cp * /etc/snort/  
cd ../rules  
cp * /etc/snort/rules

4. Configurar o Snort

Precisamos modificar o arquivo snort.conf para atender às nossas necessidades.

Abra /etc/snort/snort.conf com seu editor de texto favorito (nano, vi, vim, etc.).

# vi /etc/snort/snort.conf

Mude “ var HOME_NET any “ para “ var HOME_NET 192.168.1.0/24 “ (sua rede doméstica pode diferir de 192.168.1.0)
Mude “ var EXTERNAL_NET any “ para “ var EXTERNAL_NET !$HOME_NET “ (isso está afirmando que tudo, exceto HOME_NET é externo)
Mude “ var RULE_PATE ../rules “ para “ var RULE_PATH /etc/snort/rules “

Role para baixo na lista até a seção com “ # output database: log, mysql, user= “, remova o “ # “ na frente desta linha.
Mude o “ user=root “ para “ user=snort “, mude o “ password=password “ para “ password=snort_password “, “ dbname=snort “
Anote o nome de usuário, a senha e o nome do banco de dados. Você precisará dessas informações quando configurarmos o banco de dados Mysql.
Salve e saia.

Mude as permissões no arquivo de configuração para manter as coisas seguras (obrigado, rojo):

# chmod 600 /etc/snort/snort.conf

5. Configurar o banco de dados Mysql.

Faça login no servidor mysql.

# mysql -u root -p

Crie o banco de dados snort. Certifique-se de mudar a ‘snort_password’ para algo diferente!

mysql> create database snort;  
grant all privileges on snort.* to 'snort'@'localhost' identified by 'snort_password'; mysql> exit

Usaremos o esquema snort para o layout do banco de dados.

# mysql -D snort -u snort -p < /usr/src/snort-2.8.0.1/schemas/create_mysql

NOTA: Use a senha do usuário do banco de dados snort quando solicitado.

6. Hora de testar o Snort

No terminal, digite:

# snort -c /etc/snort/snort.conf

Se tudo correr bem, você deve ver um porquinho ASCII.

Para encerrar o teste, pressione ctrl + c.

NOTA: Se você receber erros, pode querer tentar comentar as linhas 97, 98 e 452 de /etc/snort/rules/web-misc.rules. Isso foi um problema no passado, mas não parece ser mais.

7. Obter e instalar o BASE

Abra um navegador da web e vá para http://sourceforge.net/project/showfiles.php?group_id=103348.

Clique em download e, em seguida, clique com o botão direito no pacote tar.gz mais recente e selecione copiar link (no momento da escrita, este é base-1.3.9).

No terminal, digite:

cd  
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz

Agora vá para o seu diretório raiz de documentos da web (por padrão, este é /var/www), descompacte o tarball e defina as permissões necessárias para configurar o BASE:

cd /var/www/  
tar zxvf ~/base-1.3.9.tar.gz  
cd ..  
chmod 757 base-1.3.9

Queremos ter certeza de que alguns módulos do Pear estão ativados:

pear install Image_Color  
pear install Image_Canvas-alpha  
pear install Image_Graph-alpha

8. Configurar o BASE

Abra um navegador da web e navegue até http://YOUR.IP.ADDRESS/base-1.3.9/setup.

Clique em continuar na primeira página.

Passo 1 de 5: Insira o caminho para ADODB.
Este é /usr/share/php/adodb.
Passo 2 de 5:
Tipo de banco de dados = MySQL, Nome do banco de dados = snort, Host do banco de dados = localhost, Nome de usuário do banco de dados = snort, Senha do banco de dados = snort_password
Passo 3 de 5: Se você quiser usar autenticação, insira um nome de usuário e senha aqui e marque a caixa.
Passo 4 de 5: Clique em Criar BASE AG.
Passo 5 de 5: uma vez que o passo 4 esteja concluído, na parte inferior clique em Agora continue para o passo 5.

Adicione esta página aos favoritos.

Mude as permissões de volta na pasta /var/www/base-1.3.9.

# chmod 755 /var/www/base-1.3.9

Terminamos. Parabéns!!!

Para iniciar o Snort no terminal, digite (certifique-se de mudar eth0 para a interface correta para sua máquina:

# snort -c /etc/snort/snort.conf -i eth0 -D

Isso inicia o snort usando a interface eth0 em modo daemon. Você pode adicionar isso ao seu arquivo /etc/rc.local para que ele inicie após uma reinicialização.

Para ter certeza de que está em execução, você pode verificar com o seguinte comando:

# ps aux | grep snort

Se estiver em execução, você verá uma entrada semelhante a snort -c /etc/snort/snort.conf -i eth0 -D.

Se você gostaria de aprender como escrever suas próprias regras do Snort, há um guia em http://www.snort.org/docs/snort_manual/node16.html.
Boa sorte.