Snort Install Portuguese
Snort Install Portuguese
Snort Install Portuguese
Setembro, 2006
Versão 1.0
Elaborado por:
⎯ Miguel Sampaio (miguelsaraiva@zmail.pt)
⎯ Marco Silva (mareco@portugalmail.pt)
II. Introdução
Este manual pretende apresentar, de uma forma simples, o processo de instalação de um
sensor do Network Intrusion Detection System (NIDS) Snort e de todos os componentes de
software necessários. Este trabalho insere-se no âmbito do desenvolvimento de um projecto
de avaliação das funcionalidades do Snort, recorrendo à realização de testes numa rede
piloto. A instalação em que se baseou este manual decorreu numa máquina com o sistema
operativo Ubuntu 5.10 já instalado e com o servidor X também instalado e configurado.
III. Requisitos
Antes de iniciar a instalação e configuração do Snort e de alguns dos seus utilitários, é
necessário instalar algum software fundamental.
2 Configurar o “iptables” para que, especialmente na fase de testes, não bloqueie o tráfego
IP.
# sudo iptables -I INPUT -i eth0 -p ip -j ACCEPT
<?php
phpinfo();
?>
Após a instalação do Apache, deverá ser possível aceder através de um browser aos
seguintes recursos: http://127.0.0.1/ ou http://localhost/.
1
4 Instalar o ADODB e o BASE (Basic Analysis and Security Engine) disponíveis
respectivamente em:
• http://prdownloads.sourceforge.net/adodb/
• http://prdownloads.sourceforge.net/secureideas/
3. Instalar PCRE
# sudo tar -xvzf pcre-6.3.tar.gz
# cd pcre-6.3
# sudo ./configure
# sudo make
# sudo make install
4. Instalar Snort
# sudo tar -xvzf snort-2.4.4.tar.gz
# cd snort-2.4.4
# sudo ./configure --with-mysql=<localização do mysql>
# sudo make
# sudo make install
2
dbname=snort host=localhost
# mysql
mysql> SET PASSWORD FOR root@localhost=PASSWORD('password');
>Query OK, 0 rows affected (0.25 sec)
mysql> create database snort;
>Query OK, 1 row affected (0.01 sec)
mysql> grant INSERT,SELECT on root.* to snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> SET PASSWORD FOR
snort@localhost=PASSWORD('password_do_snort.conf');
>Query OK, 0 rows affected (0.25 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to
snort@localhost;
>Query OK, 0 rows affected (0.02 sec)
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to
snort;
>Query OK, 0 rows affected (0.02 sec)
mysql> exit
>Bye
+------------+
| Database
+------------+
| mysql
| Snort
| test
+------------+
3 rows in set (0.00 sec)
3
| iphdr
| opt
| reference
| reference_system
| schema
| sensor
| sig_class
| sig_reference
| signature
| tcphdr
| udphdr
+------------------+
16 rows in set (0.00 sec)
exit;
V. Instalar o ADODB:
# cp adodb462.tgz /var/www/
# cd /var/www/
# tar -xvzf adodb462.tgz
# rm –rf adodb462.tgz
# cp base-1.2.tar.gz /var/www/html
# cd /var/www/html
# tar –xvzf base-1.2.tar.gz
# rm –f base-1.2.tar.gz
# mv base-1.2 base (renomear “base-1.2” para simplesmente “base”)
# cd /var/www/html/base
# cp base_conf.php.dist base_conf.php
4
Por exemplo, para o ficheiro de configuração do Snort “/etc/snort/snort.conf”, o
arranque do Snort é efectuado pelo seguinte comando:
# snort -c /etc/snort/snort.conf
Na página inicial de setup do BASE clicar no link “setup page” e de seguida no botão
“setup AG”. Nesta altura é possível aceder e consultar os logs do Snort acedendo
simplesmente ao endereço https://<endereço.ip>/base/html.
5
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
7. Iniciar o Guardian
# guardian.pl -c /etc/guardian.conf
OS shows Linux
Warning! HostIpAddr is undefined! Attempting to guess..
Got it.. your HostIpAddr is 192.168.1.1
My ip address and interface are: 192.168.1.1 eth0
Loaded 3 addresses from /etc/guardian.ignore
Becoming a daemon..
Versões:
V 1.0 Documento inicial