oriolrius.cat

Des del 2000 compartiendo sobre…

SNORT – Auditor de seguretat

Reading time: 3 – 4 minutes

Un molt bon auditor de seguretat i un gran projecte a tenir en compte. No
és trivial instal.lar-lo bé però compensa
l’esforç.

Ja fa temps q vaig començar a instal.lar aquest auditor a
maestratnet.net, però degut a un error en el suport de bases de dades en
el plugin de sortida vaig desistir en el seu ús fins q es docuemntes
més aquest projecte.
Doncs bé avui per fi, he aconseguit donar suport al SNORT 1.6.3 a les
bases de dades MySQL, he modificat el fitxer Makefile pq sino no em funcionava
els canvis q he fet els he trobat a la pàgina:
http://www.incident.org/snortdb
Bàsicament el q he hagut de canviar son 3 variables d’entor del fitxer q
han quedat així:
CPPFLAGS = -I/usr/include/mysql -I/usr/include/mysql -DENABLE_MYSQL
LDFLAGS = -L/usr/lib/mysql
LIBS = -lpcap -lnsl -lmysqlclient -lm
Modificat aquest fitxer al fer el configure he hagut de posar:
./configure –with-mysql-includes=/usr/include/mysql
–with-mysql-libraries=/usr/local/mysql/lib/mysql
Presuposant q tinc el MySQL instal.lat a /usr/local/mysql, tb he hagut de
modificar el fitxer /etc/ld.so.conf i afegir la linia:
/usr/local/mysql/lib/mysql
sino despres de compilar el snort no funcionava correctament ja q trobava a
faltar una llibreria.
Després de tot això he baixat el fitxer de regles de l’snort q he
psoat a /etc/snort, l’últim q he trobat és el 07272k.rules,
aquest l’he modificat afegint suport al plugin de sortida a bases de dades
mysql:
output log_database: mysql, dbname=snort user=snort host=localhost
password=xxxx
Després de tot això ja he pogut tirar l’snort amb la següent
línia q he col.locat al fitxer rc.snort:
snort -s -d -D -i eth0 -l /var/log/snort -c /etc/snort/07272k.rules
Un cop el dimoni corrent he instal.lat un fitxer q es diu snort_mysql.php3 fet
per Yen-Ming Chen (chenym@cmu.edu). Però tenia un parell de bugs q no el
deixaven rular. Bé primer cal configurar el fitxer, però
després té unes condicions cap al final del fitxer on es compara
les ip’s q has entrat a un formulari, doncs bé alla es mira si la ip q
has entrat te numeros entre 0 i 255 i si té un 0 et dona un error. Cosa
q no deixava q funciones amb la ip 212.0.103.47 de maestratnet.net, he canviat
les condicions de <=0 per <0 i ja funciona. Després tb hi havia un
formulari on es feia referencia al fitxer snort.php3 o algo així cosa q
impedia q funciones el fitxer ja q jo el tinc amb el nom snort_mysql.php3.
Així doncs he substituit el nom per $PHP_SELF i ara es digui com es
digui el fitxer ja funciona.
Tot això és el q he hagut de fer pq funcioni amb bases de dades
MySQL el SNORT. Encara em falten moltes coses per configurar, coses q
aniré comentan a mida q les trobi. Ja q el projecte personalment trobo q
esta poc doumentat.

One thought on “SNORT – Auditor de seguretat

Últimas entradas

Enhancing SSH Security with StealthSSHAccess

Reading time: 4 – 7 minutes In today’s interconnected world, maintaining the security of your server infrastructure is paramount. One critical point of vulnerability is the SSH (Secure Shell) service, which allows remote administration of servers. Despite using a non-default

Leer más »
Archivo