Beruflich Dokumente
Kultur Dokumente
apt-get update && aptitude install -y apache2 apache2-doc autoconf automake bison ca-certificates
ethtool flex g++ gcc gcc-4.4 libapache2-mod-php5 libcrypt-ssleay-perl libmysqlclient-dev libnet1 libnet1-
dev libpcre3 libpcre3-dev libphp-adodb libssl-dev libtool libwww-perl make mysql-client mysql-common
mysql-server ntp php5-cli php5-gd php5-mysql php-pear sendmail sysstat usbmount vim ethtool unzip
ethtool -K eth0 gro off
Instalando pré-requisitos do Snort
libpcap, libdnet, and DAQ
Instalando libcap
Instalando DAQ
cd /usr/src && wget https://www.snort.org/downloads/snort/daq-2.0.5.tar.gz
tar -zxf daq-2.0.5.tar.gz && cd daq-2.0.5
./configure && make && make install
Update shared library path
echo >> /etc/ld.so.conf /usr/lib
echo >> /etc/ld.so.conf /usr/local/lib && ldconfig
Instalando, Configurando e testando o
Snort
Instalando o Snort
Arquivo de configuração gerado pelo grupo TALOS
cd /usr/src && wget --no-check-certificate https://labs.snort.org/snort/2970/snort.conf -O snort.conf
wget https://www.snort.org/downloads/snort/snort-2.9.7.3.tar.gz -O snort-2.9.7.3.tar.gz
tar –zxvf snort-2.9.7.3.tar.gz && cd snort-2.9.7.3
./configure --enable-sourcefire && make && make install
mkdir /etc/snort /etc/snort/rules /var/log/snort /var/log/barnyard2 /usr/local/lib/snort_dynamicrules
touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules
groupadd snort && useradd -g snort snort
chown snort:snort /var/log/snort /var/log/barnyard2
cp /usr/src/snort-2.9.7.3/etc/*.conf* /etc/snort
cp /usr/src/snort-2.9.7.3/etc/*.map /etc/snort
cp /usr/src/snort.conf /etc/snort
Instalando, Configurando e testando o
Snort
vi /etc/snort/snort.conf Execute os passos a seguir
Descomente as linhas abaixo
ln -sf /etc/snort/rules /etc/rules
var RULE_PATH ./rules touch /var/log/snort/merged.log
var WHITE_LIST_PATH ./rules chown snort. /var/log/snort/merged.log
var BLACK_LIST_PATH ./rules vi /etc/rules/local.rules
output alert_unified2: filename snort.alert, limit 128, nostamp
output log_unified2: filename snort.log, limit 128, nostamp alert icmp any any -> $HOME_NET any (msg:"ICMP test";
sid:10000001;)
Comente todos os
include $RULE_PATH com exceção do “local.rules” Testando o snort
Comente as linhas abaixo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i
## Reputation preprocessor. For more information see eth0
#README.reputation /usr/local/bin/snort -i eth0 -c /etc/snort/snort.conf -T
#preprocessor reputation: \
#memcap 500, \
#priority whitelist, \
#nested_ip inner, \
#whitelist $WHITE_LIST_PATH/white_list.rules, \
#blacklist $BLACK_LIST_PATH/black_list.rules
Principais Comandos
Sniffer Mode
snort -v
# mostra somente os cabeçalhos dos pacote TCP/IP na tela.
snort -vd
# mostra somente os cabeçalhos do IP, TCP, UDP e ICMP.
snort -vde
# mostra os todos os cabeçalhos e os dados contidos neles também.
Principais Comandos
Barnyard2
É um interpretador de código aberto para Snort arquivos unified2 de saída binários. O seu uso
principal é permitir que o Snort grave no disco de uma forma eficiente e deixando a tarefa da
análise de dados binários em vários formatos para um processo separado que não irá causar
perca do tráfego de rede pelo Snort.
cd /usr/src && wget https://github.com/firnsy/barnyard2/archive/master.zip
unzip master.zip && cd barnyard2-master/
autoreconf -fvi -I ./m4 && ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu/
make && make install
mv /usr/local/etc/barnyard2.conf /etc/snort
cp schemas/create_mysql /usr/src
Instalando e configurando o Barnyard
Oinkmaster
Oinkmaster é um script que irá ajudá-lo a atualizar e gerenciar suas regras Snort. Ele é liberado sob a licença BSD e funcionará
na maioria das plataformas que podem executar scripts Perl, por exemplo, Linux, * BSD, Windows, Mac OS X, Solaris, etc.
Oinkmaster pode ser usado para atualizar e gerenciar o VRT/TALOS regras licenciado, as regras comunitárias, a bleeding-snort
regras e outras regras terceiros, incluindo suas próprias regras locais.
wOcd /usr/src
get http://downloads.sourceforge.net/project/oinkmaster/oinkmaster/2.0/oinkmaster-2.0.tar.gz
tar zxvf oinkmaster-2.0.tar.gz
cd oinkmaster-2.0
./contrib/create-sidmap.pl /etc/snort/rules/ > /etc/snort/sid-msg.map
cp oinkmaster.conf /etc/
vi /etc/oinkmaster.conf
Insira a lina
url = http://www.snort.org/pub-bin/oinkmaster.cgi/6a566feeb33f116d764df73022eab80c54ca5ab5/snortrules-snapshot-
2962.tar.gz
cp oinkmaster.pl /usr/bin
chmod +x /usr/bin/oinkmaster.pl
oinkmaster.pl -o /etc/snort/rules
Instalando e configurando o Barnyard
Editando o barnyard2.conf
Adiciona a linha abaixo no final do arquivo.
vi /etc/snort/barnyard2.conf
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
wget http://labs.snort.org/snort/2962/gen-msg.map -O /etc/snort/gen-msg.map
MySQL Server para o Snort
Inicializando
/usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0 &
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -C /etc/snort/classification.config &