Neste artigo abaixo publicado no VivaOLinux.com.br voc? poder? conferir com subir um servidor IDS com o Snort.
Artigo recomendado.
Autor: Jefferson Estanislau da Silva
Data: 18/09/2003
Introdu??o
Quero come?ar dizendo que este artigo foi iniciado antes de saber da meteria da revista Hacker 11.
Esse meu artigo ? sobre IDS (Intrusion Detection System) ou Sistemas de Detec??o de Intrusos, inicialmente vou falar sobre o Snort, que ? considerado o melhor dentre os softwares livres utilizados para este servi?o.
O Snort ? uma das ferramentas mais utilizadas atualmente em servidores espalhados pela Internet, ele ? mantido por Brian Caswell e Marty Roesch e al?m de seu uso em Linux, est? dispon?vel tamb?m para Windows NT, podendo ser baixado em suas duas vers?es no site:
http://www.snort.org
O Snort possui tr?s modalidades principais, s?o elas:
Sniffer
Packet Logger
Network Intrusion Detection System.
O Sniffer ? o respons?vel por leitura de pacotes que trafegam pela rede. O Packet Logger registra os pacotes do disco e o Network Intrusion Detection System ? o que tem a configura??o mais complexa, permitindo que o Snort analise o tr?fego da rede e detecte tentativas de invas?o, por rules definidas pelo usu?rio.
? sobre est? ?ltima que eu irei falar.
Instala??o
O Snort vem com a maioria dos distros Linux no mercado, mas se voc? quiser, pode baixar a vers?o mais atual dele no site www.snort.org.
Presumindo que voc? fez o download para o diret?rio /usr/src, vamos descompact?-lo. Lembre-se que voc? deve estar como root.
# tar xvzf snort.x.x.tar.gz
Agora vamos configur?-lo.
# ./configure -prefix=/usr/local/snort
# make
# make install
Observe acima que ele foi instalado no diret?rio /usr/local/snort.
Agora, crie em /etc um diret?rio para o Snort:
# mkdir /etc/snort
Vamos mover o arquivo snort.conf de seu diret?rio atual para o que criamos:
# mv /usr/local/snort/snort.conf /etc/snort
Iremos alterar agora algumas linhas do arquivo snort.conf:
# mcedit /etc/snort/snort.conf
OBS: eu gosto de utilizar o mcedit, mas voc? poder? utilizar o de sua prefer?ncia.
Localize as seguintes linhas no final do arquivo:
# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules
Edite-a desta forma:
# Path to your rules files (this can be a relative path)
#var RULE_PATH ../rules
A seguir, modifique as entradas de:
include $RULE_PATH/bad-traffic.rules
Para este formato:
include bad-traffic.rules
Salve o arquivo e feche o editor.
Agora devemos copiar as rules que est?o em seu diret?rio atual para o que criamos.
# cp /usr/local/snort/rules/*.* /etc/snort
Estas rules s?o as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua m?quina pelos invasores.
Para finalizar, devemos agora criar um diret?rio para armazenar os logs dos ataques.
# mkdir /var/log/snort
Executando o Snort
J? estamos prontos para executar o Snort para ele come?ar a monitorar o sistema.
Primeiro entre no seguinte diret?rio:
# cd /usr/loca/snort/bin
Agora execute a linha de comando:
# ./snort -c /etc/snort/snort.conf -i eth0 &
Estamos startando o Snort para que ele leia o arquivo de configura??o que n?s editamos com a op??o -c e mandando ele ficar escutando as conex?es realizadas em eth0 com a op??o -i. O & ? para ele ser executado em background.
Por default ele armazena os logs dos ataques em /var/log/snort, n?o sendo necess?rio evidenci?-lo.
Agora basta fazer verifica??es na pasta de logs para ver se sua m?quina est? sendo atacada.
Para maiores informa??es sobre esta e as outras modalidades no Snort, consulte sua documenta??o em:
http://snort/docs/writing_rules/index.html
Conclus?o
N?o sou um perito em seguran?a, mas neste pouco tempo em que tenho utilizado o Snort, j? deu para perceber que ela, juntamente com o Honeypot, s?o realmente ?timas ferramentas para monitora??o e estudo de ataques.
Na parte 2 deste artigo, irei falar sobre o Honeypot para complementar o uso desta ferramenta.
Por: Jefferson Estanislau da Silva
Analista de Sistemas
--------------------------------------------------------------------------------
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=383
Voltar para o site
Artigo recomendado.
Autor: Jefferson Estanislau da Silva
Data: 18/09/2003
Introdu??o
Quero come?ar dizendo que este artigo foi iniciado antes de saber da meteria da revista Hacker 11.
Esse meu artigo ? sobre IDS (Intrusion Detection System) ou Sistemas de Detec??o de Intrusos, inicialmente vou falar sobre o Snort, que ? considerado o melhor dentre os softwares livres utilizados para este servi?o.
O Snort ? uma das ferramentas mais utilizadas atualmente em servidores espalhados pela Internet, ele ? mantido por Brian Caswell e Marty Roesch e al?m de seu uso em Linux, est? dispon?vel tamb?m para Windows NT, podendo ser baixado em suas duas vers?es no site:
http://www.snort.org
O Snort possui tr?s modalidades principais, s?o elas:
Sniffer
Packet Logger
Network Intrusion Detection System.
O Sniffer ? o respons?vel por leitura de pacotes que trafegam pela rede. O Packet Logger registra os pacotes do disco e o Network Intrusion Detection System ? o que tem a configura??o mais complexa, permitindo que o Snort analise o tr?fego da rede e detecte tentativas de invas?o, por rules definidas pelo usu?rio.
? sobre est? ?ltima que eu irei falar.
Instala??o
O Snort vem com a maioria dos distros Linux no mercado, mas se voc? quiser, pode baixar a vers?o mais atual dele no site www.snort.org.
Presumindo que voc? fez o download para o diret?rio /usr/src, vamos descompact?-lo. Lembre-se que voc? deve estar como root.
# tar xvzf snort.x.x.tar.gz
Agora vamos configur?-lo.
# ./configure -prefix=/usr/local/snort
# make
# make install
Observe acima que ele foi instalado no diret?rio /usr/local/snort.
Agora, crie em /etc um diret?rio para o Snort:
# mkdir /etc/snort
Vamos mover o arquivo snort.conf de seu diret?rio atual para o que criamos:
# mv /usr/local/snort/snort.conf /etc/snort
Iremos alterar agora algumas linhas do arquivo snort.conf:
# mcedit /etc/snort/snort.conf
OBS: eu gosto de utilizar o mcedit, mas voc? poder? utilizar o de sua prefer?ncia.
Localize as seguintes linhas no final do arquivo:
# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules
Edite-a desta forma:
# Path to your rules files (this can be a relative path)
#var RULE_PATH ../rules
A seguir, modifique as entradas de:
include $RULE_PATH/bad-traffic.rules
Para este formato:
include bad-traffic.rules
Salve o arquivo e feche o editor.
Agora devemos copiar as rules que est?o em seu diret?rio atual para o que criamos.
# cp /usr/local/snort/rules/*.* /etc/snort
Estas rules s?o as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua m?quina pelos invasores.
Para finalizar, devemos agora criar um diret?rio para armazenar os logs dos ataques.
# mkdir /var/log/snort
Executando o Snort
J? estamos prontos para executar o Snort para ele come?ar a monitorar o sistema.
Primeiro entre no seguinte diret?rio:
# cd /usr/loca/snort/bin
Agora execute a linha de comando:
# ./snort -c /etc/snort/snort.conf -i eth0 &
Estamos startando o Snort para que ele leia o arquivo de configura??o que n?s editamos com a op??o -c e mandando ele ficar escutando as conex?es realizadas em eth0 com a op??o -i. O & ? para ele ser executado em background.
Por default ele armazena os logs dos ataques em /var/log/snort, n?o sendo necess?rio evidenci?-lo.
Agora basta fazer verifica??es na pasta de logs para ver se sua m?quina est? sendo atacada.
Para maiores informa??es sobre esta e as outras modalidades no Snort, consulte sua documenta??o em:
http://snort/docs/writing_rules/index.html
Conclus?o
N?o sou um perito em seguran?a, mas neste pouco tempo em que tenho utilizado o Snort, j? deu para perceber que ela, juntamente com o Honeypot, s?o realmente ?timas ferramentas para monitora??o e estudo de ataques.
Na parte 2 deste artigo, irei falar sobre o Honeypot para complementar o uso desta ferramenta.
Por: Jefferson Estanislau da Silva
Analista de Sistemas
--------------------------------------------------------------------------------
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=383
Voltar para o site
Seja Membro Gratuítamente
Assine a newsletter para receber em seu email as publicações atualizadas neste blog