Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Instalacion de BASE (Basic Analysis and Security Engine) Con SSL

    Enviado por

    InformationSecurity
    753 visualizações6 páginas

    Título original

    3. Instalacion de BASE (Basic Analysis and Security Engine) con SSL

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    DOC, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    753 visualizações6 páginas

    Instalacion de BASE (Basic Analysis and Security Engine) Con SSL

    Enviado por

    InformationSecurity

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 6

    3.

    Instalacion de BASE (Basic Analysis and Security Engine) con SSL

    Instalamos los paquetes requeridos que aun no tenemos.


    apt­get   install   libpcap0.8­dev   libmysqlclient15­dev   mysql­client­5.0   mysql­
    server­5.0 bison flex apache2 libapache2­mod­ php5   php5­gd   php5­mysql  
    libphp­adodb php­pear libc6­dev g++ gcc  pcregrep libpcre3­dev

    Nos logueamos a mysql.


    Mysql -u root -p

    Creamos la base de datos que utilizaremos para snort BASE y damos los permisos
    necesarios al usuario que crearemos.

    CREATE DATABASE snort;


    GRANT ALL PRIVILEGES ON snort.* TO (usuario)@localhost IDENTIFIED
    BY (Password)

    Necesitamos modificar snort a nuestras necesidades abrimos el archivo


    etc/snort/snort.conf

    Nos movemos a la seccion #output databse: log, mysql, user''...


    removemos el '#' al frente de esta linea y cambiamos los datos a los que
    establecimos en mysql.
    Si por casualidad no habiamos instalado el snort con mysql es necesario instalarlo

    apt-get install snort-mysql

    y darle todos los datos que necesita para su funcionamiento.


    cd /usr/share/doc/snort-mysql/

    zcat create_mysql.gz | mysql -u <user> -h <host> -p <databasename>

    Ahora verificamos que todo este en funcionamiento.

    Abrir el navegador e ir a la pagina:


    http://sourceforge.net/project/showfiles.php?group_id=103348

    Bajamos el arvhivo de BASE y lo descomprimimos con:


    tar zxvf ~/base-1.4.5.tar.gz

    Activamos los pear mode de php.

    Instalamos algunos modulos de Pear.


    pear install Image_Color
    pear install Image_Canvas-alpha
    pear install Image_Graph-alpha

    Hay que anotar que la version del base puede cambiar con el tiempo. Despues de
    eso copiamos la carpeta a donde se localiza nuestro sitio web:

    permite que el archivo base pueda ser escrito en el sitio web mediante
    chmod o+w base-1.4.5

    Tambien hay que cambiar el valor de la variable


    error_reporting = E_ALL & ~E_NOTICE
    en el archivo php.ini localizado en /etc/php5/apache2/php.ini

    De esta manera nuestro sitio web podra tener acceso a la carpeta base y a sus
    funciones. Ahora escribimos en el navegador la direccion de base.
    Https://(www.dominio.com)/ base-1.4.5/setup.
    Https://localhost/base-1.4.5/setup siendo localhost el servername por defecto
    configurado para nuestro servicio web(apache) con mod_ssl.

    Hacemos click para ir a la primera pagina y hacemos los siguientes pasos:


    • Entramos el path de ADODB /usr/share/php/adodb
    • Llenamos los datos de la base de datos. Database type = MySQL, Database
    name = snort, Database Host = localhost, Database username = snort,
    Database Password = snort_password.
    • (Opcional) Llenas los datos para autenticacion de BASE.
    • Click en Create BASE AG
    • Next step 5.

    Y listo ya esta configurado nuestro BASE. Ahora para poder iniciar el snort hay
    que asegurarse que este escuchando por la interfaz correcta.

    Snort -c /etc/snort/snort/snort.conf -i (interfaz) -D

    para saber cual es la interface que estamos usando podemos usar el comando
    route -n y seleccione la intefaz (última colúmna) para el Destino 0.0.0.0

    Esto empezara a snort (interfaz) en el modo daemon. Si quieres agregarlo


    definitivamente tenes que ir a /etc/rc.local para que empiece despues de un
    reinicio.

    Para verificar si snort esta funcionando puedes verificar con el siguiente comando.

    Ps aux|grep snort

    Si esta funcionando veras una interfaz similar a la de snort -c /etc/snort/snort.conf


    -i (interfaz)-D.

    Ahora probemos como funciona el snort BASE, hacemos click en Https://


    (www.dominio.com)/ base-1.4.5/setup. Activamos el servicio de snort en una
    terminal

    snort -i lo -c /etc/snort/snort.conf
    realicemos cualquier peticion para luego observarlas en el BASE. El BASE
    permite separar los paquetes según el protocolo: icmp, tcp y udp, ademas de
    realizar busquedas y ver los graficos de las alertas.

    En esta interfaz con las reglas que hemos establecido en el topico de


    configuracion del IDS pueden ser observadas solo haciendo click en sus
    respectivos links (areas marcadas).

    Un ejemplo de esto, es el alert del protocolo tcp “POST Encontrado”, en la cual el


    navegador hace un POST a un archivo html de un sitio web.

    No siendo mas, solo configurar los archivos localizados en la carpeta


    etc/snort/rules y dividir nuestros alerts según nuestras necesidades como por
    ejemplo: bad-traffic, Dos, local, etc. para asi tener un orden mas establecidos de
    los requerimientos de nuestro IDS.

    Você também pode gostar