Instalar SNORT / Barnyard2 / Mysql / Apache2 / BASE En Ubuntu server 14.04
Paso 1 Instalar y configurar SNORT
Primero actualizamos:
sudo apt-get update && sudo apt-get upgrade
Instalamos snort:
sudo apt-get install snort
Marcamos nuestra red 192.168.33.0/24
Editamos el archive de configuracion:
sudo nano /etc/snort/snort.conf
Línea #51 verificamos nuestra red:
ipvar HOME_NET 192.168.33.0/24
Línea #536 modificamos que quede así :
output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types
Reiniciamos :
sudo service snort restart
Eliminamos los viejos logs:
sudo rm /var/log/snort/snort.log
Editamos el archive de reglas para incluir estas dos :
sudo nano/etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"Alerta de ping!!!"; classtype:not-suspicious;
sid:1000001; rev:1;)
alert TCP any any -> $HOME_NET 80 (msg:"HTTP Test !!"; classtype:not-suspicious;
sid:1000002; rev:1;)
2. Probamos snort
sudo snort -i eth0 -v
(obtendremos una captura live de paquetes). CTRL+C para salir.
Hacemos un test de configuración:
sudo snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth0 -T
ejecutamos snort en modo consola:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Si hacemos un ping desde otro equipo nos tendrá que salir la alerta
CTRL+C para salir
3. Instalar barnyard
instalamos las dependencias:
sudo apt-get install autoconf
sudo apt-get install libtool
sudo apt-get install libpcap-dev
sudo apt-get install libmysqlclient-dev
instalamos barnyard2 :
cd /usr/src
sudo wget https://github.com/firnsy/barnyard2/tarball/master
sudo tar -zxf master
cd firnsy-barnyard2*
sudo autoreconf -fvi -I ./m4
sudo ./configure --with-mysql --with-mysql-libraries=/usr/lib/i386-linux-gnu
sudo ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu
sudo make
sudo make install
sudo cp /usr/local/etc/barnyard2.conf /etc/snort
sudo cp schemas/create_mysql /usr/src
sudo mkdir /var/log/barnyard2
Editamos Barnyard2.conf :
sudo nano /etc/snort/barnyard2.conf
Linea #227 cambiar :
output alert_fast ( comentamos output alert_fast: stdout )
linea #348, descomentamos y completamos :
output database: log, mysql, user=snort password=snortpass dbname=snortdb Host=localhost(reemplazar con lo que uno quiere)
4. MySQL setup
sudo apt-get install mysql-server
[nos pide una pass para root]
creamos las bases de datos :
sudo mysql -u root -p
[pass de root]
en la consola de mysql :
create database snort;
create database archive;
grant usage on snort.* to snort@localhost;
grant usage on archive.* to snort@localhost;
set password for snort@localhost=PASSWORD('aqui la pass de snort');
grant all privileges on snort.* to snort@localhost;
grant all privileges on archive.* to snort@localhost;
flush privileges;
Metemos las tablas
use snort;
source /usr/src/create_mysql;
show tables
exit
5. Probamos snort y barnyard
primero creamos sid-msg.map :
cd /usr/share/oinkmaster
sudo bash -c "sudo ./create-sidmap.pl /etc/snort/rules > /etc/snort/sid-msg.map"
sudo service snort restart
Arrancamos manualmente barnyard2 :
sudo /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w
/var/log/barnyard2/bylog.waldo -C /etc/snort/classification.config
CRTL+C para salir barnyard2
6. arrancar barnyard2 con el sistema:
Creamos un script:
sudo touch /etc/init.d/runbarnyard2
sudo gedit /etc/init.d/runbarnyard2
-----------------------------------------------------------------------------------------------
#!/bin/sh
case $1 in
start)
echo "Arranca Barnyard2"
sudo bash -c "barnyard2 -D -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -n"
echo 'Barnyard2 esta en marcha.'
;;
stop)
echo "Parrando Barnyard2"
sudo killall barnyard2
echo 'Barnyard2 se ha parado.'
;;
restart)
$0 stop
sleep 4
$0 start
;;
*)
echo "usage: $0 (start|stop|restart)"
;;
esac
exit 0
-----------------------------------------------------------------------------------------------
le damos permisos:
sudo chmod 700 /etc/init.d/runbarnyard2
sudo update-rc.d runbarnyard2 defaults 21 00
modificamos Barnyard2 para lanzarlo como demonio descomentando la linea:
sudo nano /etc/snort/barnyard2.conf
------------------------------------------------------------
# enable daemon mode
#
config daemon
-------------------------------------------------------------
uso :
sudo /etc/init.d/runbarnyard2 start/stop/restart
7. Instalar y configurar BASE
Apache2 :
sudo apt-get install apache2
sudo apt-get install libapache2-mod-php5
sudo apt-get install libphp-adodb
Editamos “/etc/php5/apache2/php.ini“, buscamos la linea “error_reporting” y la cambiamos
a:
error_reporting = E_ALL & ~E_NOTICE
En el archive /etc/apache2/apache2.conf adjuntamos el directorio para BASE :
-----------------------------------------------------------------------------------------------------
<Directory /var/www/html/base>
AllowOverride All
Require all granted
</Directory>
-----------------------------------------------------------------------------------------------------
Reiniciar apache2 :
sudo service apache2 restart
instalamos las dependencias de BASE :
sudo apt-get install php-pear
sudo apt-get install libwww-perl
sudo apt-get install php5-gd
sudo pear config-set preferred_state alpha
sudo pear channel-update pear.php.net
sudo pear install --alldeps Image_Color Image_Canvas Image_Graph
instalamos BASE :
cd /usr/src
sudo wget HTTP://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-
1.4.5.tar.gz
sudo tar -zxf base-1.4.5.tar.gz
sudo cp -r base-1.4.5 /var/www/html/base
sudo chown -R www-data:www-data /var/www/html/base
sudo service apache2 restart
Configurar BASE en un navegador :
HTTP://ip_server/base
1) path : /usr/share/php/adodb
2) Database Name : snort
Database Host : localhost
Database User Name: snort
Database Password : snort pass
( marcar ‘Use Archive Database’ )
Archive Database Name : archive
Archive Database Host : localhost
Archive Database User Name : snort
Archive Database Password : snort pass
3) marcar ‘use authentication system’ habilita el login screen lock para BASE )
Full admin name ( nombre )
[GUI password] ( pass para la BASE )
Full admin name ( nombre completo )
4) Click ‘ Create baseAG’
5) Click ‘ Now continue to Step 5 ‘ and login ( user / pass BASE )
La página se refresca cada 3 minutos. Un par de pings nos mostrara alertas
Más info en: http://computer-outlines.over-blog.com/article-nids-snort-barnyard2-apache2-
base-with-ubuntu-14-04-lts-123532107.html
