Reading time: 3 – 4 minutes
Un molt bon auditor de seguretat i un gran projecte a tenir en compte. No
és trivial instal.lar-lo bé però compensa
l’esforç.
Ja fa temps q vaig començar a instal.lar aquest auditor a
maestratnet.net, però degut a un error en el suport de bases de dades en
el plugin de sortida vaig desistir en el seu ús fins q es docuemntes
més aquest projecte.
Doncs bé avui per fi, he aconseguit donar suport al SNORT 1.6.3 a les
bases de dades MySQL, he modificat el fitxer Makefile pq sino no em funcionava
els canvis q he fet els he trobat a la pàgina:
http://www.incident.org/snortdb
Bàsicament el q he hagut de canviar son 3 variables d’entor del fitxer q
han quedat així:
CPPFLAGS = -I/usr/include/mysql -I/usr/include/mysql -DENABLE_MYSQL
LDFLAGS = -L/usr/lib/mysql
LIBS = -lpcap -lnsl -lmysqlclient -lm
Modificat aquest fitxer al fer el configure he hagut de posar:
./configure –with-mysql-includes=/usr/include/mysql
–with-mysql-libraries=/usr/local/mysql/lib/mysql
Presuposant q tinc el MySQL instal.lat a /usr/local/mysql, tb he hagut de
modificar el fitxer /etc/ld.so.conf i afegir la linia:
/usr/local/mysql/lib/mysql
sino despres de compilar el snort no funcionava correctament ja q trobava a
faltar una llibreria.
Després de tot això he baixat el fitxer de regles de l’snort q he
psoat a /etc/snort, l’últim q he trobat és el 07272k.rules,
aquest l’he modificat afegint suport al plugin de sortida a bases de dades
mysql:
output log_database: mysql, dbname=snort user=snort host=localhost
password=xxxx
Després de tot això ja he pogut tirar l’snort amb la següent
línia q he col.locat al fitxer rc.snort:
snort -s -d -D -i eth0 -l /var/log/snort -c /etc/snort/07272k.rules
Un cop el dimoni corrent he instal.lat un fitxer q es diu snort_mysql.php3 fet
per Yen-Ming Chen (chenym@cmu.edu). Però tenia un parell de bugs q no el
deixaven rular. Bé primer cal configurar el fitxer, però
després té unes condicions cap al final del fitxer on es compara
les ip’s q has entrat a un formulari, doncs bé alla es mira si la ip q
has entrat te numeros entre 0 i 255 i si té un 0 et dona un error. Cosa
q no deixava q funciones amb la ip 212.0.103.47 de maestratnet.net, he canviat
les condicions de <=0 per <0 i ja funciona. Després tb hi havia un
formulari on es feia referencia al fitxer snort.php3 o algo així cosa q
impedia q funciones el fitxer ja q jo el tinc amb el nom snort_mysql.php3.
Així doncs he substituit el nom per $PHP_SELF i ara es digui com es
digui el fitxer ja funciona.
Tot això és el q he hagut de fer pq funcioni amb bases de dades
MySQL el SNORT. Encara em falten moltes coses per configurar, coses q
aniré comentan a mida q les trobi. Ja q el projecte personalment trobo q
esta poc doumentat.
One thought on “SNORT – Auditor de seguretat”
He trobat una web amb documentacio detallada de l’snort pinta força
bé, tot i q no l’he pogut llegir.
http://www.dpo.uab.edu/~andrewb/snort/snortdoc/snort.html