Tabela de Conteúdo
Contents
1. Selecionar os seguintes pacotes Printing Support Classic X Windows System X Windows System Gnome Network Support Messaging and Web Tools Network Managed Workstation Authoring and Publishing Emacs Utilities Software Development b Next a Select your installed video card Selecionar o seu video card j instalado 11 Video Configuration 12 About to Install a Next a Choose the appropriate model Next Escolher Next a Choose color depth and resolution Escolher profundidade de cor e resolu o b Choose Text for your login type Escolher texto para o login c Next d Exit 13 When prompted insert Redhat CD 2 14 When prompted for Boot disk creation choose Skip Next 15 Monitor Selection sele o de monitor 16 Custom X Configuration P s Instala o do Redhat 1 Instale todos os updates e patch relevantes do Redhat http www redhat com support errata rh72 errata htm 2 Desligue o servi o de PortMapper a chkconfig portmap off Instala o do Snort A primeira coisa que n s necessitamos fazer instalar as depend ncias do MySQL para o snort Para isso pode ser feito o download em bip www mysal corn rom ivh MySQL client rpm rom ivh MySQL devel rpm A seguir fa a o download do pacote snort tar na p gina Ptp 7 www snortorg dl Ser chamado algo como snort 1 8 tar gz Fa a o downtoad da ltima vers o e compile a cp snort 1 8 tar2. tar gz C var www lhtml tar zxvf adodb231 tgz C var lwww html tar zxvf gd 1 8 4 tar gz C varlwwwlhtml tar zxvf phplot 4 4 6 tar gz C varlwwwlhtml Importante Remova o n mero de vers o dos nomes do diret rio por exemplo mv gd 1 8 4 to gd and mv phplot 4 4 6 phplot Vamos configurar o arquivo de configura o do ACID cd varlwwwlhtmi acid vi acid conf php Uma vez que voc esta no arquivo acid conf php modifique as seguintes vari veis Mude o xxxx para refletir a senha escolhida para a conta do snort DBlib path adodb Salert dbname snort Salert user snort Salert password xxxx Chartlib path phplot Em seguida vamos fazer a configura o apenas da vis o do portal ACID Sem deletar os eventos Isso v lido para pessoas que apenas precisam da vis o dos alertas Copie var iwww html acid para var www html acidviewer veja apenas acid cp R varlwwwlhtml acid varlwww html acidviewer cd varlwwwlhtml acidviewer vi acid conf php Mude as seguintes vari veis em var html www acidviewer acid conf php novamente mude o xxx para refletir a senha que foi escolhida para a conta do acidviewer Salert user acidviewer Salert password xxxx Agora asseguramos ambos websites ACID com o Apache Configuramos as duas contas para o acesso ao Website da ACID Quando requisitado entre com sua senha para essa conta da web Muito cuidado para n o incluir a op o
3. es Instala o do Redhat 7 3 P s Instala o do Redhat Instala o do Snort Instala o do Webmin Instala o do Redhat 7 3 1 L ngua Inglesa English language 2 Configura o do teclado Keyboard Configuration a Pr xima Next 3 Configura o do Mouse Mouse Configuration a Pr xima Next 4 Tela de boas vindas Welcome Screen a Pr xima Next 5 Op es de Instala es Install Options a usual pr xima Custom Next 6 Separa o de Estrat gia H duas estrat gias separadas apontadas abaixo Siga uma para o sensor do Snort ou outra para a base de dados console ACID Estas configura es s o baseadas em uma configura o 18gig disco r gido HD Sensor do Snort a Selecione Manually partition with Disk Druid b Selecione New i Ponto de montagem Mount point boot ii Tamanho Size MB 40 iii Selecione OK c Selecione New i Filesystem swap ii Tamanho MB 512 iii Selecione OK d Selecione New i Ponto de Montagem Mount point ar ii Tamanho Size MB 4000 iii Selecione OK e Selecione New i Ponto de Montagem Mount point ii Checar Check Fill to maximum allowable size Preencha ao m ximo valor aceit vel iii Selecione OK f Selecionet Next MySQL Base de Dados Console Acid a Selecione Manually partition with Disk Druid Next b Selecione New i Mount point boot ii Size MB 40 iii Select OK c S
4. lt Main Page gt e estamos prontos Ajuste do Sensor Usando o Webmin e o plugin do snort podemos ajustar facilmente seus sensores A seguir vamos demonstrar uma forma de lidar com as regras usando o Webmin A primeira coisa que precisamos fazer logar em um dos nossos sensores que pode ser acessado via Raid O Fa a o login usando a senha da ra z mostrada abaixo Voc ser apresentado a uma tela vista a seguir Selecione o icone Sever na parte superior da tela A seguir selecione o cone Snort P S o cone parece um porco Voc ser apresentado a uma tela que permitir que voc controle a maioria dos aspectos do seu sensor No centro da tela voc ver todos os seus arquivos de regras Note que os seus podem parecer diferente Preste uma aten o especial nas regras locais Esse o local onde colocamos nossos filtros Vamos dar uma olhada nos arquivos de regras do DNS Simplesmente clique em cima e ver uma tela como esta Como pode ser visto existem 4 colunas que constituem o arquivo de regra Rule Regra Apenas a ordem em que a regra aparece no arquivo de regra Signature Assinatura Essa como uma assinatura atual do snort parece Status A regra est habilitada ou desabilitada Action Essas s o as a es que podem ser executadas para a regra dada Deve ser vis vel que voc possa habilitar desabilitar mudar e adicionar regras desta tela Lembre se que ap s feita alguma mudan a voc deve reiniciar o da
5. msbnetworks net snort Topologia Conceitual H cinco pacotes de software preliminares que produzem esta topologia O servidor web Apache o servidor de banco de dados MySQL Webmin ACID e Snort Esta topologia sup e que seus sensores estar o funcionando em um hardware dedicado separado da base de dados e do console ACID Abaixo est uma descri o breve de cada uma dos pacotes e de sua finalidade na topologia Apache Web Server Este o web server de escolha para a maioria dos websites que s o acessados na Internet A nica finalidade da Apache de hospedar o console ACID Baseado na Web MySQL Server MySQL um servidor de base de dados baseado em SQL para uma variedade de plataformas e a plataforma mais suportada para armazenar alertas do Snort Todos os alertas do IDS que s o provocados por nossos sensores s o armazenados na base de dados do MySQL Webmin Webmin uma interface baseada na web para administrar usu rios baseados em Unix Fornece uma interface gr fica para a maioria dos servi os e op es de configura o que est o dispon veis no n vel shell Webmin escrito em Perl e os novos m dulos plugins para administrar servi os Por exemplo o DNS os usu rios amp os grupos est o sendo criados toda hora H tamb m um m dulo do Snort que instalado e que permite que voc administre graficamente o Snort Analysis Console for Intrusion Databases ACID Console de an lise para base de dado
6. PATH info rules include RULE PATH icmp info rules include RULE PATH virus rules include RULE PATH chat rules include RULE PATH p2p rules include RULE PATH multimedia rules include RULE PATH experimental rules include RULE PATH local rules Crie um diret rio de registro log para o snort A informa o de busca de Port posta aqui Tamb m se voc estiver fazendo o registro log de pacotes ou n o est povoando uma base de dados essa informa o colocado ent o aqui mkdir varllog snort Instale o script startup automatizado Snort Voc pode fazer o download do script em http home earthlink net sjscott007 snortd Se voc tiver erros ao tentar executar o arquivo ap s feito o download certifique se que a transfer ncia ASCII e n o bin ria A melhor maneira de garantir isto cortar e copiar em um arquivo de texto cp snortd etclrc d init d cd etc lrc d init d chmod 755 snortd chkconfig level 2345 snortd on O par metro u grava todas as vezes no UTC O par metro o muda a ordem da regra definida de Alert gt Pass gt Log to Pass gt Alert gt Log Isto permite que Snort ignore os falsos positivos usando o arquivo das regras locais com a op o pass filtrar os ru dos das m quinas Vamos testar a nossa configura o do Snort etc rc d init d snortd start Certifique se primeiramente de que o processo est funcionando emitindo um comando ps ef Procure o snort rodando Ger
7. gz usr src redhat SOURCES cd lusr src redhat SOURCES tar zxvf snort 1 8 tar gz cd usr src redhat SOURCES snort 1 8 configure with mysql make make install Download e instale as ltimas regras Fa a o download das mesmas pela p gina http www snort org dl signatures certifique se que voc esta fazendo o download do snortrules tar gz e N O do snortrules current tar gz mkdir etc snort cp snortrules tar gz etc snort cd etc snort tar zxvf snortrule tar gz A tw Depois que voc untared o arquivo das regras ser criado um diret rio de regras em etc snort N s necessitamos mover todos os arquivos de regras para dentro do diret rio etc snort A raz o que n s temos que fazer isto por causa da Webmin e da vari vel SBRULE PATH Por alguma raz o o m dulo da Webmin n o gosta da vari vel RULE PATH e atrapalha voc a editar suas regras cd etc snortirules mv cd rmdir rules vi snort conf Edite as seguintes linhas do arquivo snort conf Substitua o xxxx com a senha apropriada para a conta snort A vari vel do host deve ser ajustada ao seu servidor IP do ACID MySQL output database log mysql user root password test dbname db host localhost to output database log mysql user snort password snort dbname snort host 000 000 000 000 Comment out the RULE PATH variable var RULE PATH rules para var RULE PATH rules Remova todas as
8. o processo Magn fico Coment rios e Corre es Se encontrar algum erro ou gostaria de fazer coment rios favor envie os para Sjscott007 Dyahoo com Aonde adquirir a ltima vers o deste Guia A ltima vers o deste guia pode ser encontrada em ttp home earthlink net sjscott007 voc pode tamb m encontr lo em ttp www snort org Introdu o A finalidade desta guia documentar a instala o e a configura o de uma implementa o completa do Snort Este guia cont m toda a informa o necess ria para instala o e compreens o do plano de arquitetura da implementa o A informa o neste guia foi escrita para implementa o do Snort 1 8 usando o Redhat 7 3 Voc pode encontrar algumas discrep ncias se voc estiver instalando vers es diferentes de Snort ou estiver usando vers es diferentes de Redhat Este guia foi escrito com a suposi o que voc s compreendam como funciona o Snort e ter uma compreens o b sica de Linux Isto inclui a edi o de arquivos fazer diret rios software compilado e comandos gerais de compreens o Unix Este guia n o explica como usar ou configurar o Snort mas informa es de onde obter esta informa o pode ser encontrado na se o Informa o Adicional Softwares Requeridos A seguir esta uma lista dos softwares requeridos e as vers es que foram utilizadas tp ftp redhat co MySQL v3 23 52 Redhat 7 3 Snort Webmin Module v1 1 http
9. sensor Contact Comments Allowable Protocols Source Direction or Destination Protocol Addres s Any 10 77 3 4 FTP Any 10 77 0 0 16 HTTP Public Servers Source Address Running Services Contact 10 77 3 4 FTP Jimmy John 444 555 1111 Informa o adicional Snort Home Page http www snort org Snort Users Manua Manual do Usu rio http www snort org docs writing rules Snort Setup for Statistics Ajuste das Estat sticas Man Page Usenet Groups Snort announce http lists sourceforge net mailman listinfo snort announce Snort users Snort sigs http lists sourceforge net mailman listinfo snort sigs Snort devel Ihttp lists sourceforge net mailman listinfo snort devel Snort cvsinfo http lists sourceforge net mailman listinfo snort cvsinfo Redhat 7 2 Reference Books Redhat 7 2 Updates Patches errata html Redhat Network Guide lhttps rhn redhat com help basic Compaq Linux http www compag com products software linux Nessus Vulnerability Scanner http Anww nessus org Linux Clocks and Time http www linuxsa org au tips time html Mudan as de Log V1 0 Maio 2002 Documento Inicial Initial document V1 5 Agosto 2002 Refeito para Redhat 7 3 Corre es de erros Se o de ajuste do sensor foi inclu da Se o de mudan as de log foi inclu da Se o Acessando o Conso
10. A seguir como ajustar a hora depois que a instala o foi completada O arquivo atual do fusor rio armazenado no diret rio usr share zoneinfo Para selecionar um fusor rio copie o arquivo apropriado para o diret rio etc e nomei o tempo local localtime Eu n o sei porque o Rehhat n o usa um link simb lico aqui Para a hora central central time cp lusr share zoneinfo America Chicago etc localtime ou In sf usr share zoneinfo America Chicago etc localtime Edite o arquivo etc sysconfig clock e mude a vari vel UTC igual a verdadeiro equal to true UTC true Agora ajuste o rel gio do sistema O exemplo dado para 25 de Mar o 2002 s 12 30pm March 25 2002 at 12 30pm CST A hora ajustada no modo 24 horas usando o seu tempo local n o o tempo do UTC your local time not UTC time Veja a p gina principal para mais informa es data principal man date date 032512302002 Ajuste o rel gio do hardware para o rel gio do sistema hwclock systohc utc Protocolo do Tempo de Rede NTP H uma necessidade de manter a hora precisa nos sensores sem ter que ajustar manualmente o rel gio A maneira mais f cil de manter os sensores em sincronismo usando o protocolo do tempo de rede NTP Edite o arquivo etc ntp conf Mude a entrada do usu rio para te refletir o timeserver servidor de tempo nunca usado para a sincroniza o a n o ser que outra fonte de sincroniza o est disp
11. AVE Salvar 3 Instale o Snort Webmin plugin a Selecione o cone Webmin Configuration b Selecione o cone Webmin Modules c Instale o modulo da pagina url ttp www snort org dl contrib front ends webmin plugin snort 1 0 wbm e clique Install 4 Configure Snort Plugin a Selecione o cone Servers que se encontra na parte superior da p ginaWeb b Selecione o cone Snort IDS Admin Parece um porco c Selecione o Module Config que se encontra do lado esquerdo Voc deve agora ver uma tela como esta Your configuration should match the following Full path to Snort executable with options usr local bin snort U d D c etc snort snort conf Full path to Snort configuration file etc snort snort conf Full path to Snort rule files directory etc snort Full path to Snort PID file var run snort eth1 pid Command to start Snort optional etc rc d init d snortd start Sua configura o deve combinar com a seguinte Caminho completo do execut vel do snort com op es usr local bin snort U d D c etc snort snort conf Caminho completo para o arquivo de configura o do snort Snort etc snort snort conf Caminho completo para o diret rio do arquivo de regras etc snort Caminho completo para o arquivo PID var run snort_eth1 pid Comando para come ar o snort opcional etc rc d init d snortd start Quando terminado clique em no bo
12. M scara para IP acima GW Default Gateway for the above IP Network Placement Internet Pre Firewall External Internet Post Firewall Internal Extranet Post Firewall Internal Source Address Category External Internet Address Internal Address Endere o Interno Extranet Address Endere o Extranet Proxy Firewall Destination Address Category External Internet Address Internal Address Extranet Address Proxy Firewall Relacionamento com outros sensores Este campo usado para mostrar as rela es com outros sensores Por exemplo um sensor antes e depois do proxy Se voc observar um alarme no sistema IDS depois do proxy e quiser o verdadeiro endere o da fonte voc ira precisar da refer ncia do sensor antes do proxy Coment rios a respeito de qualquer circunstancia em especial Contact Information on who to contact Permitir o fluxo do protocolo Este deve conter todos os protocolos permitidos que cruza o link Servi os P blicos Qualquer servidor acess vel ao p blico servers that are accessible to the public Example Template Sensor Coco23 IP 127 2 44 2 Mask 255 255 255 0 GW 127 2 44 1 Network Placement Internet Pre Firewall External Source Address Category External Internet Address Destination Address Category Proxy 10 77 3 4 Relationship to other sensors Momo44 To find the real destination address correlate events with Momo44
13. Manual de Instala o do Snort Snort MySQL e ACID no Redhat 7 3 Agosto 2002 Vers o 1 5 ttp home earthlink net siscott o7 Tabela de Conte do Reconhecimento 3 Coment rios e Corre es 3 Onde obter a ltima vers o deste guia 3 Introdu o 3 Softwares Requeridos 4 Topologia Conceitual 4 Modelo de aloca o do sensor 5 Como usar este guia 6 Instala o do Redhat 7 3 6 P s instala o do Redhat 9 Instala o do Snort Instala o do Webmin Acid Console amp Base de dados centralizado do MYSQL Acessando o Console ACID Ajuste do Sensor Zonas de tempo Fusor rio Protocolo de Tempo de Rede Manuten o Caracter sticas dos sensores Informa o Adicional Mudan a de Log 12 13 16 17 18 19 19 21 23 23 Reconhecimento Eu gostaria de agradecer as seguintes pessoas por sua ajuda em criar esta guia e em suportar o projeto que ajudou a criar Fred Beste Sua aptid o para empossar e complementar suas habilidades com outras pessoas contribuir somente para o seu cont nuo sucesso Eu n o posso come ar a explicar as grandes coisas que podem ser realizadas quando voc tem o controle sobre seu pr prio destino Isso apenas mostra como os grandes l deres deixam suas pessoas comandar e compartilhar da riqueza com aquelas que as executam Bob Kaelin Por cuidadosamente ajudar a endireitar os v rios sensores enquanto garantia que a documenta o flu sse durante todo
14. c na terceira linha mkdir usr lib apache passwords htpasswd c usr lib apache passwords passwords admin htpasswd usr lib apache passwords passwords acidviewer Adicione as seguintes linhas para a se o do DIRECTORY Diret rio etc httpd conf httpd conf A se o significa a rea geral quando vemos os outros formatos do diret rio lt Directory var www html acid gt AuthType Basic AuthName yourcompany AuthUserFile usr lib apache passwords passwords Require user admin AllowOverride None lt Directory gt lt Directory variwww html acidviewer gt AuthType Basic AuthName yourcompany AuthUserFile usr lib apache passwords passwords Require user acidviewer AllowOverride None lt Directory gt Reboot the server reboot Acessando o Console ACID Agora temos dois websites para o console ACID 1 to youracidhostacidlndex himl Esse site para o administrador e pode ser acessado usando a conta do ADMIN criado anteriormente Podemos deletar os eventos usando esse site Esse site para qualquer um que precisa acesso lido para os eventos e pode ser acessado usando a conta ACIDVIEWER que criamos anteriormente Usu rios desse site n o pode deletar eventos A primeira vez que conectamos com a Website da ACID vamos ver um display como este Click Clique lt setup page gt Uma vez que esta na p gina de setup configura o click Create ACID AG Uma vez completada click
15. contra na parte inferior da tela Ent o selecione adicionar e sua regra aparecer Agora selecione editar a regra Vamos agora adaptar a regra para filtrar transfer ncias de zonas DNS esperadas Neste caso vamos modificar as a es das regras fonte destino e campo de mensagem 1 A a o do campo ser lt pass gt 2 A fonte 192 168 55 23 3 O destino 192 168 12 5 4 O campo da mensagem descreve a assinatura Eu mantenho a descri o da assinatura mas adiciono um coment rio porque estamos filtrando esse evento e adiciono minhas iniciais para dizer quem criou Agora clique em Save Salvar Como voc pode ver sua nova regra aparece no arquivo Agora apenas reinicie o snort da p gina principal do plugin do snort e o seu filtro toma efeito A raz o que isto funciona devido op o o na inicializa o do snort Zonas de Tempo Fusor rio Voc pode estar alocando os seus sensores em fusor rios diferentes Portanto muito importante que ajustamos a hora corretamente Consequentemente n s podemos ajustar o fusor rio apropriado e certificar que todos os tempos est o gravados no padr o UTC Formalmente tempo m dio de Greenwich A maneira mais f cil de realizar isto ajustar o clock do harware BIOS para o UTC Isto pode ser realizado durante a instala o do Redhat ou depois da instala o estar completada Um bom tutorial para o ajuste da hora pode ser encontrado em http Awww linuxsa org au tips time html
16. e algum tr fego ilegal no segmento monitorado como uma varredura de NMAP Seu console ACID deve agora indicar os resultados Voc deve tamb m ver a contagem do sensor no incremento da pagina principal Note que seu sensor n o estar indicado no ACID at que um alerta seja gerado mas a contagem do sensor no ACID come a a ficar incrimanado incriminated Quando acabar o teste funcione o comando a seguir para que o Snort pare de funcionar etc rc d init d snortd stop Instala o do Webmin Instale as depend ncias para usar as conex es SSL com o Webmin Voc pode fazer o download do Net SSLeay em http symlabs com Net SSLeayl cp Net SSLeayrpm tar gz usr src redhat SOURCES cd usr src redhat SOURCES tar zxvf Net SSLeay rpm tar gz cd Net perl Makefile PL make install Instale o Webmin RPM Fa a o download emfhttp www webmin com rpm ivh webmin 0 99 1 noarch rpm 1 Configure SSL a Abra o browser Mozilla e v ao endere o http 127 0 0 1 10000 b Fa a o login como ROOT Login as ROOT c Selecione o cone Webmin Configuration d Selecione o cone SSL Encryption e Selecione o bot o Enable SSL support if available e clique o bot o Save Salvar 2 Configure o Proxy se voce estiver atr s do firewall a Selecione o cone Webmin Configuration b Selecione o cone Proxy Servers c Entre sua informa o do proxy e clique no bot o S
17. elect New i Filesystem swap 11 ii Size MB 512 Tamanho iii Select OK d Select New i Mount point ii Size MB 4000 iii Select OK e Select New i Mount point var ii Check Fill to maximum allowable size iii Select OK f Select Next 2 Boot Loader a Next 3 Grub Password a Next 4 Network Configuration Config Da rede a Setup the IP address information for EthO Setup do endere o IP i Unselect Configure Using DHCP option Retire da sele o Configure using DHCP option b Select eth1 tab i Select Activate at boot c Next Note que eth0 sua interface interna e eth1 sua interface sniffing Voc nunca deve atribuir um endere o IP a interface sniffing eth1 5 Configura o do Firewall a No Firewall Next 6 Language Support Linguagem Suportada a Next 7 Time Zone Selection Sele o de Fusor rio a Set UTC to the proper offset b Use daylight savings time option if appropriate Hor rio de ver o se apropriado c Check the box System clock uses UTC Checar o box citado d Next 8 Account Configuration Configura o da conta a Set root password senha da raiz root b Create individual accounts Criar contas individuais c Next 9 Authentication Configuration Autentica o de configura o a Next 10 Select Package Groups Selecionar grupos de pacotes a Select the following packages for installation
18. emon do snort para que a mudan as tomam efeito Voc pode achar o bot o para reiniciar o servi o na p gina principal do plugin do Snort no canto inferior da tela Filtrando as Regras O filtro nos permite fazer exce es de regras sem desabilit las completamente o progredir com seu sistema IDS voc ver que algumas assinaturas s o particularmente ruidosas e requer algum tipo de ajuste O filtro uma forma de sanar esse problema Para esse exemplo n s vamos usar a regra de n mero 4 do exemplo acima Esta regra usada para detectar transfer ncias nas zonas DNS H muitos casos onde isso legal e n o queremos ser alertados disso quando for executado por hosts previstos Aqui esta como a regra n mero 4 se parece RULE 4 alerttcp EXTERNAL_NET any gt HOME_NET 53 msg DNS zone transfer flags A content 00 00 FC offset 13 reference cve CAN 1999 0532 reference arachnids 212 classtype attempted recon sid 255 rev 5 Vamos dizer nesse sensor que normal para o host 192 168 55 23 executar transfer ncias nas zonas DNS com 192 168 12 5 Ent o selecione o bot o volta e volte para a tela principal do plugin do snort Clique no arquivo local de regras O arquivo local de regra usado para suas pr prias regras Voc pode usar esse arquivo para suas pr prias assinaturas e para fitragem Uma vez dentro do arquivo de regras cole a regra que voc copiou dentro da caixa de adicionar regra Add rule box que se en
19. le ACID foi inclu da 35
20. o arquivo das configura es Execute o seguinte comando export DISPLAY up2date nox configure Edite a linha 19 A linha deve conter a vari vel lt noReplaceConfig gt Mude viable de Yes to No Pressione enter para sair do up2date Prossiga com a atualiza o executando os seguintes comandos rhn check Uma vez completo volte para a tela de configura o do up2date up2date nox configure Edite a linha 19 mais uma vez e mude o valor de volta para o Yes Pressione enter para sair Est pronto Sincronizando o seu perfil do Redhat Se voc manualmente atualizou o RPM s ou se de alguma forma ficou fora de sincronismo com a rede do Redhat voc ter que fazer um upload do seu perfil novamente Execute o seguinte comando pra voltar ao sincronismo export DISPLAY up2date p Manualmente atualize os seus pacote do Redhat sem a rede do redhat A melhor maneira para atualizar o seu servidor Redhat que est em posi es remotas is to SSH in e execute os seguintes comandos export DISPLAY up2date nox u Agora voc deve observar a vers o do comando de linha do up2date rodando Uma vez que voc saia do up2date todos os seus rpm s foram atualizados Como remover totalmente um sensor da base de dados do MySQL Entre no ACID e delete todos os eventos associados com aquele sensor Isso pode demorar um pouco vai depender do n mero de eventos que ser deletado e o tipo de harware que v
21. oc esta rodando a base de dados Seja paciente seu browser pode at time out enquanto espera o t rmino Use o topo para observar o servi o do mysqld Quando eu estava testando em uma caixa lenta eu tinha que entrar diversas vezes e continuar a deletar os eventos Eu tinha mais que 60000 eventos e sensores m ltiplos Eu tamb m tive que ficar saindo da tela e entrando de novo pois estava aparecendo unsuccessful delete Dele o mal sucedida A seguir remova o sensor completamente da base de dados Isso ir corrigir a contagem do sensor na p gina principal do ACID mysql u root p mysql gt connect snort mysql gt select from sensor Procure o n mero sid do sensor que voc deseja deletar Por exemplo mysql gt delete from sensor where sid 2 mysql gt delete from sensor where sid lt number gt Caracter sticas dos sensores A finalidade de ter caracter sticas dos sensores de documentar e compreender o tr fego que transversa o link a liga o onde o sensor encontrado Voc pode usar esta informa o para reduzir os seus falsos positivos ajustar seus sensores e eventualmente encontrar anomalias no tr fego Abaixo est o formato que usa quando povoamos os campos Fields Description Descri o dos campos Sensor DNS Name of your sensor Sensor DNS Nome do seu sensor IP IP address of the management interface Endere o IP da interface de gerenciamento Mask Subnet mask for the above IP M scara Subnet
22. on vel No caso do host local ser controlado por uma fonte externa como um oscilador externo ou um outro protocolo a palavra chave preferida causaria que o host local iria tornar indiferente todas as outras fontes de sincroniza o a n o ser as modifica es em Kernel que est o em uso e declarassem uma condi o de n o sincronismo server yourtimeserver com fudge 127 127 1 0 stratum 10 A seguir inicialize o ntpd daemon e fa a o executar na inicializa o letclrc d init d ntpd start chkconfig ntpd on Manuten o Usando a rede do Redhat Se voc esta ajustando seus servidores pela primeira vez voc precisa inicialmente registra los Emita os seguintes comandos e siga os alertas rhn register H dois cen rios em que pacotes n o ser o automaticamente atualizados O primeiro atualiza o no Kernel e o segundo RPM s o qual modifica o arquivo de configura es Certifique se que voc saiba quais pacotes est o sendo atualizado antes de fazer a mudan as seguintes Uma vez registrado fa a o login em e estabele a um direito Entitlement para o seu novo servidor Ent o execute uma atualiza o da rede Redhat Atualiza es do Kernel Execute o seguinte comando export display up2date nox configure Edite a linha 23 ou a 24 dependendo de que vers o up2date voc esta usando A linha deve conter a vari vel lt pkgSkipList gt Limpe essa vari vel teclando o n mero da linha e depoi
23. os ambientes que usam a tradu o de endere o da rede NAT Isto permitir que voc encontre o endere o real da fonte correlacionando os eventos entre o sistema IDS antes e depois do Firewall Esta topologia permitir que voc verifique se suas linhas de refer ncias do Firewall est o sendo seguidas ou se algu m n o fez nenhum erro ao mudar uma regra do Firewall Se voc sabe se suas linhas de refer ncias do Firewall n o declaram o uso de ftp e o seu sistema IDS p s Firewall estiver mostrando alertas de ftp ent o sabemos que o Firewall n o est bloqueando o tr fego de ftp Isto apenas um efeito lateral e n o deve ser a nica maneira que voc verifica o concedimento com suas linhas de refer ncias Extranet As conex es da Extranet s o monitoradas com um sistema IDS colocado do lado interno do Firewall ou do roteador As raz es de que n s n o monitoramos o lado externo da Extranet s o que as regras para esta conex o privada devem estar extremamente estreitas e o acesso deve ser limitado somente aos recursos usu rios que s o necess rios para o relacionamento do neg cio Como usar este guia A maneira mais f cil de usar esta guia construir primeiramente seu MySQL e o servidor ACID Isto pode ser conseguido lendo as seguintes se es no guia Instala o do Redhat 7 3 P s Instala o do Redhat Console ACID amp Base de dados centralizada do MySQL Os sensores podem ser criados com as seguintes se
24. ource create mysdl mysql gt grant CREATE INSERT SELECT DELETE UPDATE on snort to snort Para que voc conecte localmente com essa conta mysql gt grant CREATE INSERT SELECT DELETE UPDATE on snort to snort localhost Crie um usu rio que n o possa deletar alertas da base de dados pode somente necessitar da conta local mysql gt grant CREATE INSERT SELECT UPDATE on snort to acidviewer Para que voc conecte localmente com essa conta mysql gt grant CREATE INSERT SELECT UPDATE on snort to acidviewer Dlocalhost Ajuste as senhas para as contas do MySQL mysql gt connect mysdl mysql gt set password for snort localhost password yourpassword mysql gt set password for snort D password yourpassword mysql gt set password for acidviewer localhost password yourpassword mysql gt set password for acidviewer D password yourpassword mysql gt flush privileges mysql gt exit O ACID requer a instala o de PHP e o m dulo de suporte do Mysql Fa a o download em ftp updates redhat com 7 3 en os i386 rpm ivh php 4 1 386 rpm rpm ivh php mysql 4 1 386 rpm Agora a hora de instalar o ACID Voc pode fazer o download de todos os arquivos em ACID 0 9 6B21 http acidlab sourceforge net http php weblogs com adodb ADODB v2 31 4 6 http www phplot com Uma vez que os arquivos untar downloaded seguinte das limas var www html tar zxvf acid 0 9
25. s do intruso O ACID uma aplica o baseada na web para que os logs registros do Firewall possam ser vistos Este o lugar onde toda a informa o do sensor consolidada para a vis o Snort Snort um sistema de detec o de intruso em pequenas redes lightweight capaz de executar an lises de tr fego e registros de pacotes no IP da rede em tempo real Este o pacote de software que usado para recolher informa es da rede Modelo de aloca o do sensor Internet Servi os P blicos Sa da de Tr fego A maneira mais praticada e padr o de alocar seus sensores s o antes e depois de um Firewall Isto realiza tr s objetivos Saber se alguma tentativa esta sendo feita antes de toda a filtragem do pacote estiver terminada Pre Firewall Externo Saber se uma tentativa foi bem sucedida ou bloqueada pelo Firewall Pos Firewall Interno Verificar as configura es dos Firewalls sempre bom saber se algu m est tentando invadir sua rede Isto o porque que n s colocamos um Sistema da detec o de Intruso IDS antes do primeiro Firewall lado externo Voc pode comparar isto como tendo uma c mera monitorando sua porta da frente sem esta c mera voc nunca saberia quem est tentado abrir a porta sem sucesso Saber se uma tentativa foi bem sucedida na passagem atrav s do seu Firewall pode deix lo focalizar as amea as reais e ajudar lhe reduzir em falsos positivos O outro benef cio est n
26. s tecle um C mai sculo para limpar a entrada Tecle enter para sair do up2date Execute o seguinte comando para fazer o download das atualiza es do kernel rhn check Depois de completo reboot a m quina Quando a m quina voltar inicie os seguintes comandos para verificar o sucesso da atualiza o Caso a m quina n o volte do reboot voc ter que manualmente selecionar o kernel antigo do grub boot screen Ap s feito com sucesso as atualiza es do kernel podemos limpar o antigo kernel Edite o arquivo grub conf no diret rio etc vi etc grub conf Remova as 4 ltimas linhas do arquivo que se refere sobre a vers o antiga do kernel A seguir temos que limpar todos os arquivos de refer ncia do kernel antigo Os mesmos s o encontrados no diret rio boot Delete os arquivos seguintes que adaptam a numera o da vers o antiga do kernel Os arquivos que eu listei possui um representando a numera o da vers o antiga rm initrd img rm module info rm system map rm vmlinux Execute o seguinte commando up2date nox configure Edite a linha 23 ou 24 dependendo de qual vers o do up2date que voc est usando A linha deve conter a vari vel lt pkgSkipList gt Mude the able out by teclando o n mero da linha e depois kernel Isso ir parar que o kernel seja atualizado automaticamente Pressione enter para sair Est pronto RPM s o qual modifica
27. t o Save Salvar Est pronto Acid Console amp Base de dados centralizado do MYSQL A primeira coisa que devemos fazer instalar o servidor web Apache para ent o o ACID ter uma casa A ltima RPM para o Apache pode ser encontrado em rpm ivh apache 1 3 X X i386 rpm chkconfig level 2345 httpd on letc rc d init d httpd start A seguir n s instalamos e configuramos a base de dados do MySQL Fa a o download na on a a rpm ivh MySQL 3 23 X X i386 rpm rpm ivh MySQL client 3 23 X X i386 rpm rpm ivh MySQL shared 3 23 X X i386 rpm mysql u root mysql gt set password for root D localhost password yourpassword mysql gt create database snort mysql gt exit NOTA Por alguma raz o estranha o MySQL 3 23 56 1386 rpm n o inicia o servi o do mysql no n vel 3 Fa a o seguinte para corrigir o problema chkconfig level 3 mysql on Note que depois que voc ajusta a senha da raiz acima voc precisa fazer o login usando uma senha para acessar a base de dados com raiz Por exemplo mysql u root p As tabelas da base de dados precisam ser ajustadas N s realizamos isso funcionando o script do create mysql Este pode ser encontrado na rvore de CVS Se o arquivo n o esta localizado no diret rio de onde o programa Mysql esta rodando adicione o trajeto indica o da fonte Por exemplo mysql gt source Ihome john create_mysql mysql u root p mysql gt connect snort mysql gt s
28. vari veis S RULE PATH de cada uma das seguintes linhas Por exemplo fa a a primeira regra ser como esta include bad traffic rules Inclua todas as regras rulesets aqui shellcode policy info backdoor and virus rulesets are disabled by default These require tuning and maintance Isso requer ajuste e manuten o Por favor leia o arquivo especificado inclu do para maiores informa es Please read the included specific file for more information include RULE_PATH bad traffic rules include RULE_PATH exploit rules include RULE_PATH scan rules include RULE PATH finger rules include RULE PATH ftp rules include RULE PATH telnet rules include RULE PATH smtp rules include SRULE PATH rpc rules include RULE PATH rservices rules include RULE PATH dos rules include RULE PATH ddos rules include RULE PATH dns rules include RULE PATH tftp rules include RULE PATH web cgi rules include RULE PATH web coldfusion rules include RULE PATH web iis rules include RULE PATH web frontpage rules include RULE PATH web misc rules include RULE PATH web attacks rules include RULE PATH sqgl rules include RULE PATH x11 rules include RULE PATH icmp rules include RULE PATH netbios rules include RULE PATH misc rules include RULE PATH attack responses rules include RULE PATH backdoor rules include RULE PATH shellcode rules include RULE PATH policy rules include RULE PATH porn rules include RULE
Download Pdf Manuals
Related Search