Instalando Snort Barnyard e Base no Slackware

Este artigo estarei postando passo a passo de montar um servidor de IDS no Slackware.

Segue lista com pacotes que precisaremos para uma instalação mínima do SlackWare com snort:



IP Utilizado:
192.168.1.9

Usuario:root
Senha: amnet2009

Segue links com alguns slackbuilds prontos:

ADODB
http://www.mediafire.com/?ij1h2uk184kkf8j

Barnyard
http://www.mediafire.com/?3wn3owou2351bi8

DAQ
http://www.mediafire.com/?3938s2vls9kbltb

LIBNET
http://www.mediafire.com/?ikqc94iimw676zu

LIBNIDS
http://www.mediafire.com/?a2j25d2a3d1s4tz

LIBPCAP
http://www.mediafire.com/?gakzh41g8niaf87

SNORT
http://www.mediafire.com/?z2w2k29e1uik72f

SNORT RULES
http://www.mediafire.com/?aagu7kk5xknp4ac

Após baixar os slackbuilds execute o comando:

#installpkg *.tgz *.txz

Na sequencia utilize o seguinte comando:

#pecl install dbase

Como iremos gravar nossos logs no banco é necessário descomentar uma linha em /etc/barnyard2.conf

output database: log, mysql, user=root password=amnet2009 dbname=snort host=localhost

Nosso próximo passo será a criação do DB:

Crie um arquivo chamado snort.sql com o seguinte conteudo:



Após a criação execute o seguinte comando:

# mysql -uroot -pamnet2009 < snort.sql
# mysql -uroot -pamnet2009 < /usr/share/doc/barnyard2-1.9/schemas/create_mysql snort

Feito estes passos, incie os seguintes serviços:

# /etc/rc.d/rc.snort start
# /etc/rc.d/rc.barnyard2 start

Vamos agora adicionar os novos serviços para que subam automáticos na inicialização do S.O.

# vim /etc/rc.d/rc.M

No final do arquivo /etc/rc.d/rc.M adicione as linhas abaixo:



Após esta alteração os serviços vão inciar junto com S.O, quando o mesmo sofrer um reboot.

Para o funcionamento correto do Base é necessário os seguintes passos:

# pear --update-channels
# pear install -f Image_Color
# pear install -f  Image_Canvas
# pear install -f Image_Graph

Após o procedimento acima vamos configurar o Base pelo Browser:

Acesse pelo Browser o endereço 192.168.1.9/base

Observe a mensagem em vermelho.

Será necessário efetuar uma pequena alteração no arquivo /etc/httpd/php.ini

Altere a linha correspondente conforme a própria imagem já mostra.

Após a alteração de um reload na página e pronto a mensagem já na mais aparecerá.

A próxima tela será a configuração de dados do Mysql:

Preencha os dados acima e vamos ao próximo passo quw será o usuário e senha para efetuar o login após ser completada a instalação:

No próximo passo será a criação das tabelas na base Mysql:

Após a confirmação deverá aparece a tela conforme abaixo:

A proxima tela será informado para copiar o conteúdo e salva-lo como base_config.php dentro do diretório /srv/www/htdocs/base/

Abaixo segue um modelo de como ficou o arquivo deste lab:

Após a alteração dê um "Submit" e cairá na tela de login:

Após o login você já terá o Base pronto para gerenciar novas regras e acompanhar em tempo real o que está passando na sua rede, tipo Scans com nmap e assim por diante:

E assim fecha mais um artigo.