Tutorial Snort e Guardian

MYSQL
Primeiramente, iremos instalar e configurar nosso banco de dados MySQL:

#aptitudeinstallmysqlserver
Depois de instalar, iremos criar o usurio "snort":

#mysqlurootp
Entre com a senha de root que voc forneceu durante a instalao.
mysql> grantallprivilegesonsnort.*tosnort@localhostidentifiedby

"123456";
mysql> quit;
Agora entre no MySQL usando o usurio que acabamos de criar:

#mysqlusnortp
Informe a senha que utilizou para criar o usurio. Verifique as bases:
mysql> showdatabases;
Crie a base Snort no banco:
mysql> createdatabasesnort;
Saia:
mysql> quit

SNORT
Agora hora de instalar o Snort:

#aptitudeinstallsnortmysql
Durante a instalao, informe a faixa de rede e a mscara que sua rede usa. Depois voc ser
questionado se deseja que seja criado uma base de dados para gravar os logs, selecione "Sim" e depois
d OK.
Agora acesse o diretrio da documentao do Snort que contm as tabelas:

#cd/usr/share/doc/snortmysql
Use o arquivo "create_mysql" para criar as tabelas na base Snort do banco:

#zcatcreate_mysql.gz|mysqlusnorthlocalhostpsnort
Informe a senha do usurio "snort". Depois acesse a base Snort do banco e verifique se as tabelas foram
criadas com sucesso:

#mysqlusnortp
(Entre com a senha do usurio snort)
mysql> showdatabases;
mysql> usesnort;
mysql> showtables;
mysql> status;
mysql> quit;
V ate o diretrio onde esto os arquivos de configurao do Snort:

#cd/etc/snort
Renomeie o arquivo "snort.conf":

#mvsnort.confsnort.conf.orig
Crie uma cpia do arquivo que acabamos de renomear sem os comentrios, para o arquivo ficar menor e
mais legvel:

#catsnort.conf.orig|grepv^#|grep.>snort.conf
Agora vamos editar o arquivo "snort.conf":

#picosnort.conf
Na primeira linha (var HOME_NET any) remova o "any" e digite a faixa de rede/mscara:
var HOME_NET 192.168.0.0/24
Agora, quase no final do arquivo, abaixo da linha (output log_tcpdump: tcpdump.log), digite o seguinte:
output database: log, mysql, user=snort password=123456 dbname=snort host=localhost
output alert_full: /var/log/snort/alert
Entendendo: Na primeira linha informamos o nome de usurio da banco, a senha, o nome da base e o
host do banco. No exemplo estou usando localhost, mas muito importante voc colocar o banco de
dados em outro servidor. J na segunda linha, informamos o Snort para gerar os logs no arquivo alert.
Agora v at o arquivo "snort.debian.conf" e d uma olhada na linha

(DEBIAN_SNORT_INTERFACE="eth0"), mude-a caso deseje que o Snort escute em outra interface.

Remova o arquivo de pendncia de configurao do banco de dados:

#rmdbpendingconfig
Entre no arquivo /etc/snort/database.conf e comente a seguinte linha:
### output database: log, mysql,
Depois disso, pode iniciar o Snort:

#/etc/init.d/snortstart
Faa um teste, fique monitorando o arquivo de log do Snort:

#tailf/var/log/snort/alert
E em outra mquina, use o Nmap para escanear o host do Snort:

#nmapsX192.168.0.1
Obs.: Esse o IP do Snort no meu laboratrio.
Fique acompanhando o arquivo "alert" e veja o que acontece.
Pronto. At aqui j temos o Snort pronto para gerar os alertas e gravar no banco de dados, mas ele ainda
no capaz de bloquear nada, pois no est com o IPS Guardian. Vamos fazer isso agora.

GUARDIAN
Primeiro baixaremos o Guardian:

#cd/opt
#wgetcv http://www.chaotic.org/guardian/guardian-1.7.tar.gz
Agora iremos descompactar:

#tarxvzfguardian1.7.tar.gz
#cdguardian1.7
Editar o arquivo "guardian.conf":

#picoguardian.conf
Informar o IP do servidor na linha HostIpAddr:
HostIpAddr

192.168.0.1

Informe a interface na linha Interface:

Interface

eth0

Na linha "AlertFile", informe o caminho do arquivo "alert":

AlertFile

/var/log/snort/alert

Salve o arquivo e copie para o /etc/:

#cpguardian.conf/etc/
Crie o arquivo /etc/guardian.ignore e nele informe os IPs que sero ignorados pelo Guardian. No caso,
pode colocar o IP do servidor:

#pico/etc/guardian.ignore
192.168.0.1
Copiaremos os scripts de bloqueio e desbloqueio:

#cdscripts
#cpiptables_block.sh/sbin/guardian_block.sh
#cpiptables_unblock.sh/sbin/guardian_unblock.sh
Caso seu sistema esteja em portugus, edite o arquivo "guardian.pl":

#cd/opt/guardian1.7
#picoguardian.pl
Procure pela linha que contm "inet addr" (linha 320) e mude para:
inet end
Salve o arquivo e copie para o /sbin/:

#cpguardian.pl/sbin
Crie o arquivo de log do Guardian:

#touch/var/log/guardian.log
Criaremos o script para o Guardian ser executado automaticamente durante o boot:

#pico/etc/init.d/guardian
#!/bin/bash
test -f /sbin/guardian.pl || exit 0

case "$1" in
start)
guardian.pl -c /etc/guardian.conf
;;
stop)
kill -9 $(pgrep guardian.pl)
;;
*)
echo "Opo invalida. Use start ou stop."
exit 2
;;
esac
exit 0
D permisso de execuo para o script:

#chmod755/etc/init.d/guardian
Agora pode iniciar o Guardian com o comando:

#/etc/init.d/guardianstart
E parar com o:

#/etc/init.d/guardianstop
Habilite o Guardian para ser executado durante o boot com o assistente rcconf:

#aptitudeinstallrcconf
#rcconf
Marque a opo do Guardian e d OK.

CONCLUSO
Agora s fazer os testes e ver se est tudo OK. O Guardian est bloqueando ataques, voc pode usar o
mesmo teste antes de executar o Nmap como mostrado acima e ver se o Guardian vai bloquear o IP do
atacante.
Pessoal, isso a. Espero que tenham gostado do post. Adiante postarei um artigo de instalao e
configurao do Snort com oBarnyard2 mais o Guardian e suporte ao MySQL.