Snort step by step

Publicado: diciembre 28, 2010 en Uncategorized

Pues bien, dentro de mis actividades se me asigno instalar un servidor ids con snort, para lo cual empleando centos 5.5 el manual usado fue:

http://elfragmx.webs.com/Install_Snort_2.8.6_on_CentOS_5.5.pdf

El snort empleado fue:

http://elfragmx.webs.com/snort-2.8.6.tar.gz

Todo excelente hasta la parte de dar de alta la base de datos mysql con el famoso schema por defecto, resulta que desde donde se ejecuta la accion:

mysql -u root -p -D snort < ./schemas/create_mysql

es desde /root/snortinstall/snort-2.8.6   que es donde se encuentra la carpeta schemas… si al final se ejecuta con la leyenda Not Using PCAP_FRAMES no hay problema, quiere decir que se inicializo bien solo que no con los pcap frames de phill (esto ultimo no cuasa ninguna problematica ni es considerado un error).

Por otro laod al configurar la ADODB la instruccion de los php-pear (number roman, number word, image graph, etc) tiene un detalle, hay que instalarla bajando los paquetes desde:

http://www6.atomicorp.com/channels/atomic/centos/5/i386/RPMS/
o directo desdE:

http://elfragmx.webs.com/php-pear-Numbers_Words-0.15.0-1.el5.art.noarch.rpm
http://elfragmx.webs.com/php-pear-Numbers-Roman-1.0.2-3.el5.art.noarch.rpm
http://elfragmx.webs.com/php-pear-Image-Graph-0.7.2-5.el5.art.noarch.rpm
http://elfragmx.webs.com/php-pear-Image-Color-1.0.2-6.el5.art.noarch.rpm
http://elfragmx.webs.com/php-pear-Image-Canvas-0.3.1-3.el5.el5.art.noarch.rpm

y luego dando rpm -i paquete.rpm donde paquete es el nombre del paquete php-pear a instalar

por otro lado, despues de instalar y configurar la base hay que reiniciar de forma que los servicios se actualicen

 

Para la instalacion del barnyard, el paquete lo encuentran aqui:

http://elfragmx.webs.com/barnyard2-1.8.tar.gz

y al momento de la configuracion con mysql, hay un error pequeño en el manual, es ./configure no configure como viene ahi, solo es agregarle el ./

Otra parte importante del barnyard es que se debe crear el directorio /var/log/barnyard2 y dentro de el el archivo vacio barnyard.waldo y barnyard2.waldo para que no genere error en la ejecucion.

por lo cual para la instalacion del barnyard2 recomiendo mejor la seccion de instalacion de barnyard que viene aqui:

http://elfragmx.webs.com/Snort_2.8.6_FC13.pdf

modificando obviamente los parametros correspondientes como el password de la base de datos snort….

 

Al final, en lugar de utilizar el metodo de arranque propuesto por el manual, es mejor usar:

para snort:

snort -c /etc/snort/snort.conf -i eth0

para barnyard:

/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard.waldo

 

Y para el arranque automatico al inicio seria seguir el manual para FC13, todo funciona perfecto!

 

De ahi en mas, nada de observar, suerte!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s