LINUCA
LINUCA - Asociación de Usuarios GNU/Linux en Cantabria
CONTENIDOS
. La Asociación
. ¡ Apúntate a socio !
. Fotos
. Los más leídos
. Autores [Actividad]
. Últimos Comentarios
. ¡Todos los titulares!
. Guía de Estilo
. Cómo publicar en Linuca
. Links cortos
. Lista de Correo
   [Mensajes antiguos]
   [Etiqueta en la Lista]
. Todas las Listas
. ¿Sugerencias?
. ¡Sindícanos!
Gràcies Bulma!
Esta página usa el código fuente de Bulma :-)
Busquedas

Ultimos kernels
(01/09/2014 15:26:15)
Debian
Última actualización
stable: 12/07/2014
testing: 01/09/2014
unstable: 01/09/2014
SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (61691 lecturas)
Por César González
Bolo (http://www.linuca.org/todos.phtml?id_autor=1)
Creado el 10/08/2002 16:35 modificado el 10/08/2002 16:35

En esta ocasión, los avispados linucadictos conoceremos paso a paso la instalación y configuración de snort, un sistema open source de detección de intrusos. Configuraremos snort en debian, para que loguee sobre MySQL y así poder usar ACID (aplicacion web) para el analisis de los logs. Snort se autoactualizará y nos enviara informes diarios al buzon de correo.


Pagina1/1

Para empezar trataremos las diferentes clases de detectores de intrusos que existen y definiremos esas siglas tan raras que se han puesto ahora tan de moda (IDS, NIDS, HIDS, etc) :


1- IDS, Intrusion Detection System , a veces llamado HIDS, H de Host

Los IDS, en principio, solo capturan alertas ocurridas en el host local donde estan instalados. Aunque, por extension, todos los Sistemas de Intrusion, del tipo que sean, son tambien llamados IDS.


2- NIDS - Network Intrusion Detection System

Estos sistemas detectan alertas snifando el trafico que pasa por su tarjeta de red. Por lo que si son colocados en los lugares correctos (p.e. los firewalls, gateways etc) nos detectan los ataques producidos a cualquiera de los hosts de nuestra red. Los DIDS (Distributed Intrusion Detection System) son NIDS donde los sensores que detectan y recolectan información estan distribuidos en diferentes puntos/hosts en la red. Snort, como no, tambien puede actuar como NIDS.


  • SNORT

  • Snort es, basicamente, un sniffer que rastrea los paquetes que circulan por la red en busca de patrones de ataque, escaneos de puertos y demás actividad sospechosa. Cuando un paquete casa con algún patrón establecido en las reglas de configuración, se logea. Así sabremos cuando, de donde y como se produjo el ataque.


  • INSTALACIÓN DE SNORT+MYSQL+ACID.
  • Nuestro objetivo va a ser configurar snort para que logee en la base de datos MySQL, para despues instalar ACID, una aplicación web escrita en PHP que nos permitirá acceder a toda la información que proporciona snort de manera ordenada y sencilla. ACID nos permitirá realizar búsquedas de todo tipo en la base de datos, estas búsquedas pueden ser por ip fuente/destino, por fecha, por ataque, por protocolo, realizar informes, graficas, etc, una autentica gozada.

    Ademas de esta herramienta, que nos va a facilitar enormemente el analisis de los logs..., a mi personalmente me gusta que tambien me envie por mail informes diarios de la actividad registrada, para no tener que conectarme al web cada día y mirar que hay de nuevo. Para conseguir esto, habilitaremos, ademas del logueo a MySQL, el logue sobre ficheros ordinarios ya que la mayoria de las herrmientas de reporte automático que hay para snort no soportan el acceso a bases de datos.

    Bueno, ahora que sabemos un poco de que va esto, pasamos a la parte práctica:

    Para la primera etapa de la instalación, necesitaremos apt-getar esto:

    apt-get install mysql-server
    apt-get install snort-mysql

    Vale, bien, ya tenemos instalado la base de datos MySQL y snort con soporte para la misma. Ahora, configuraremos MySQL creando la base de datos de snort, con las tablas necesarias y para finalizar crearemos el usuario para que Snort puede acceder.
    Fijar password de root de MySQL (si es una instalación limpia y no lo has echo aún) :

    $mysqladmin -uroot password nueva-pass

    Creamos la nueva base de datos :

    $mysqladmin -uroot -p create snort

    Existe en el paquete snort-mysql un archivo con el volcado de tablas que necesita Snort para loguear :

    $gunzip /usr/share/doc/snort-mysql/contrib/create_mysql.gz
    $mysql -uroot -p snort < /usr/share/doc/snort-mysql/contrib/create_mysql

    Ya tenemos las tablas listas, ahora creamos el usuario para snort :

    $mysql -uroot -p
    Enter password:
    Welcome to the MySQL monitor. Commands end with ; or \g.
    Your MySQL connection id is 20 to server version: 3.23.51-log

    Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

    mysql>grant all on snort.* to snort@localhost identified by 'xxxxxx';
    Query OK, 0 rows affected (0.13 sec)
    mysql> flush privileges;
    Query OK, 0 rows affected (0.19 sec)

    Ahora vamos a por Snort...

    Las firmas de ataques que usa snort para generar alertas se encuentra en el directorio /etc/snort. Estas firmas se encuentran en los arichivos con extension *.rule y el nombre del archivo hace referencia al tipo de alertas que contienen (netbios.rules, exploit.rules, x11.rules, etc).

    El siguiente paso es configurar snort editando su fichero de configuración /etc/snort/snort.conf. El fichero se divide en 4 partes fundamentales :

    1- Configurarción de las variables de red para nuestro entorno.

    En esta seccion asignaremos valores a las variables tales como la red que monitorizará snort en busca de ataques (HOME_NET), los servidores DNS (DNS_SERVERS), servidores smtp (SMTP_SERVERS), etc. Se recomienda establecer al menos los servidores DNS que utilizan nuestros equipos (sobre todo si teneis una red casera y tirais de dns externos) para evitar falsos positivos de portscanning.

    2- Configurar los preprocesadores.

    A partir de la versión 1.5 aparecieron los preprocesadores que permiten que las funcionalidades de snort sean extendidas por los usuarios proporcionando un sistema de acceso a los paquetes antes de que sean procesados por el motor de deteccion de snort.Para empezar, podemos dejar los valores por defecto que vienen. Si necesitais mas información, en el manual de usuario teneis todos los preprocesadores que vienen con el paquete explicados muy sencilla y resumidamente.

    3- Configurar los plugins de salida.

    Los plugings de salidad nos permiten elegir de entre un gran variedad de formatos de salida. En el snort.conf vienen todas comentadas y con ejemplos. Nosotros vamos a configurar dos salidas (al fichero /var/log/snort/alert y a MySQL) simultaneamente. Añadiremos estas lineas :

    #esto nos vuelca las alertas al archivo /var/log/snort/alert

    output alert_full : alert

    #esto configura el logeo sobre MySQL

    output database: log, mysql, user=snort password=xxxxx dbname=snort host=localhost

    4- Personalizar las reglas.

    Este es el ultimo paso... si queremos deshabilitar algun grupo de reglas solo tenemos que comentar el include correspondiente. Por ejemplo :

    #=========================================
    # Include all relevant rulesets here
    #
    # shellcode, policy, info, backdoor, and virus rulesets are
    # disabled by default. These require tuning and maintance.
    # Please read the included specific file for more information.
    #=========================================

    include $RULE_PATH/rservices.rules
    include $RULE_PATH/dos.rules
    include $RULE_PATH/ddos.rules
    include $RULE_PATH/web-cgi.rules
    include $RULE_PATH/web-coldfusion.rules
    include $RULE_PATH/web-iis.rules
    include $RULE_PATH/web-frontpage.rules
    include $RULE_PATH/web-misc.rules
    include $RULE_PATH/web-attacks.rules
    include $RULE_PATH/sql.rules
    include $RULE_PATH/x11.rules
    include $RULE_PATH/icmp.rules
    include $RULE_PATH/netbios.rules
    # include $RULE_PATH/backdoor.rules
    # include $RULE_PATH/shellcode.rules
    # include $RULE_PATH/policy.rules
    # include $RULE_PATH/porn.rules
    # include $RULE_PATH/info.rules
    # include $RULE_PATH/icmp-info.rules
    # include $RULE_PATH/virus.rules

    Aqui vemos como se han comentado unos cuantos grupos como info, policy-info, backdoors, etc...

    ¡BIEN!, ya tenemos snort configurado y listo para rular... Le metemos un /etc/init.d/snort restart sin ningun tipo de miedo, y con ps aux | grep snort, miramos a ver si está arriba... Si hubiera problemas probad a arrancar snort desde la consola con "snort -c /etc/snort/snort.conf" para ver los errores.

    El siguiente paso es meterle cera al ACID (Anlisys Console form Intrusion Databases). Esta herramienta entra dentro del proyecto AirCert, sponsorizado por el CERT. Este proyecto desarrolla herramientas de seguridad open source, con el ánimo de disponer de un entorno de detección de intrusios eficiente y de bajo coste.

    Instalar ACID es tan facil como esto:

    #apt-get install acidlab
    #chown -R www-data:www-data /etc/acidlab
    #vi /etc/acidlab/acid_conf.php

    Aqui relleneramos los campo relativos a la base de datos...:

    /* Alert DB connection parameters
    * - $alert_dbname : MySQL database name of Snort alert DB
    * - $alert_host : host on which the DB is stored
    * - $alert_port : port on which to access the DB
    * - $alert_user : login to the database with this user
    * - $alert_password : password of the DB user
    *
    * This information can be gleaned from the Snort database
    * output plugin configuration.
    */
    $alert_dbname = "snort";
    $alert_host = "localhost";
    $alert_port = "xxxxx";
    $alert_user = "snort";
    $alert_password = "";

    /* Archive DB connection parameters */
    $archive_dbname = "snort_archive";
    $archive_host = "localhost";
    $archive_port = "";
    $archive_user = "snort_archive";
    $archive_password = "zzzzz";

    Existen dos usuarios que hay que rellenar, los del usuario con acceso a la bd snort, y los del de acceso a la snort_archive. Esta segunda base de datos será creada por acid para que el usuario pueda archivar alertas importantes.

    Para crear esta segunda base de datos, hacemos tres cuartos de lo mismo de lo que hicimos para crear la base de datos de snort y el usuario :

    # mysql -uroot -p
    Enter password:
    Welcome to the MySQL monitor. Commands end with ; or \g.
    Your MySQL connection id is 22 to server version: 3.23.51-log

    Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

    mysql> grant all on snort_archive.* to snort_archive@localhost identified by 'zzzzz';
    Query OK, 0 rows affected (0.05 sec)
    mysql> flush privileges;
    Query OK, 0 rows affected (0.19 sec)

    mysql>

    Ya está, para comprobar que todo a ido bien lanzamos el navegador y vamos a http://localhost/acidlab/. La primera vez que accedeis acid os informará de que tiene que crear algunos indices extra en la base de datos de snort para poder funcionar, seguid las instrucciones y al finalizar nos mostrará la consola de analisis de logs de snort. Nada mas echarle un vistazo se puede ver la potencia de esta herramienta ya que podemos filtrar y realizar busquedas casi bajo cualquier criterio que se nos ocurra. Pues ya hemos terminado, podeis probar el chiringuito haciendoos un escaneo de puertos (desde otro equipo en la red , no desde localhost que ahi snort no escucha) o pasaros el nessus. Por ultimo decir que el correo del administrador que recibe las informes de alertas diarias se encuentra en la variable DEBIAN_SNORT_STATS_RCPT del archivo /etc/snort/snort.debian.conf.

    DEBIAN_SNORT_STATS_RCPT="correo@tuyo.com"

    Para que el snort actualize las firmas de ataques automagicamente yo uso oinkmaster. Los descargais y lo descomprimis en /etc/snort/oinkmaster.

    Editamos /etc/crontab y añadimos esta linea para que la actualización se produzca cada dia a las 2:30 de la madrugada.

    30 2 * * * cd /etc/snort/oinkmaster; ./oinkmaster.pl -o /etc/snort/ 2>&1 | logger -t oinkmaster

    Bueno, para terminar os pongo un resumen-receta de los comandos que hemos seguido para poner esto a punto :

    #apt-get install mysql-server
    #apt-get install snort-mysql
    $mysqladmin -uroot password nueva-pass
    $mysqladmin -uroot -p create snort
    $gunzip /usr/share/doc/snort-mysql/contrib/create_mysql.gz
    $mysql -uroot -p snort < /usr/share/doc/snort-mysql/contrib/create_mysql
    mysql>grant all on snort.* to snort@localhost identified by 'xxxxxx';
    #vi /etc/snort/snort.conf <- rellanar al menos la variable DNS_SERVERS y añadir las entradas de los output plugins de alert_full: y database:
    #apt-get install acidlab
    #chown -R www-data:www-data /etc/acidlab
    #vi /etc/acidlab/acid_conf.php <- editar los valores realtivos a los usuarios de acceso a mysql
    mysql> grant all on snort_archive.* to snort_archive@localhost identified by 'zzzzz';
    #vi /etc/snort/snort.debian.conf <- rellenar la variable DEBIAN_SNORT_STATS_RCPT con el correo que recibira los informes diarios
    #wget ftp://ftp.it.su.se/pub/users/andreas/oinkmaster/oinkmaster-0.6.tar.gz
    #tar xpvzf oinkmaster-0.6.tar.gz
    #mv oinkmaster-0.6 /etc/snort/oinkmaster
    #vi /etc/crontab <- añadimos la entrada para ejecutar oinkmaster cada noche

    Ahh, se me olvidadba comentar que es muy necesario poner un .htaccess en el directorio donde este acid para asi limitar el acceso a este servicio y si en vez de usar apache, tiramos de apache-ssl mejor que mejor, no mola nada si despues de montar todo se nos conectan al acid y nos borran las alertas no? En este articulo de bulma teneis un minitutorial de como hacerlo.

    Bueno, eso es to, eso es to, eso es todo amigos xD y no olviden unixizarse y opensourcizarse...

    Saludos a todos.


    Enlaces :

  • Snort http://www.snort.org/
  • ACID http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
  • Oinkmaster http://nitzer.dhs.org/oinkmaster/

  • Imprimir
    Version para
    imprimir

    Imprimir
    Version
    PDF
    Comentarios
    1.  APT (12/08/2002 23:03, #7)
      Por: Enrique
    Se que esta pregunta puede estar un poco fuera de foco, pero creo que es oportuno hacerla.

    Tengo RedHat 7.3 y no tiene el APT de donde lo instalo?
    He leido que es mejor que RPM pero cuan verdad es eso???

    Podrias enviarme un mensaje tambien a mi correo.???

    Gracias

     
    2.  Re: APT (12/08/2002 23:41, #8)
      Por: Bolo (http://linuca.org/todos.phtml?id_autor=1)
    Se que esta pregunta puede estar un poco fuera de foco, pero creo que es oportuno hacerla. Tengo RedHat 7.3 y no tiene el APT de donde lo instalo?

    El apt solo esta disponible en debian (que yo sepa)
    Tendrás que buscar los rpm de marras o sino instalar desde las fuentes. Al final del articulo te acabo de poner los enlaces a las herramientas necesarias.
    Suerte

     
    3.  Re: APT (30/11/2003 17:46, #1115)
      Por: SpiDeY
    Quien use mandrake tiene el urpmi...

    Bueno lo realmente interesante:

    http://apt-rpm.tuxfamily.org/

    Usease apt para distribuciones basadas el redhat. Ahora solo hay que hacerse con un buen sources.list, que los hay, y se acabó el problema. Funciona (al menos a mi) de maravilla.

     
    4.  Re: APT (28/08/2004 02:45, #2129)
      Por: Calamaro
    El apt para redhat lo obtienes en http://apt.freshrpms.net

     
    5.  Re: APT (25/11/2003 22:46, #1108)
      Por: skynet
    Existe un rpm para redhat que tras instalarlo funciona igual que el apt de Debian (y es genial!) y que al igual que mogollón de paquetes, lo puedes encontrar en:

    www.rpmfind.net

    P.D.1: he oido que red hat se va hacer de pago dentro de poco, así q si os recomendaria que os fueseis cambiando de distribución
    P.D.2: apt todavía le queda bastante lejos para llegar a la calidad del emerge de Gentoo. si te pica la curiosidad visita:

    www.gentoo.org

    Salu2 a todos los freakys como yo.

     
    6.  Re: APT (29/07/2005 01:05, #3783)
      Por: El cobarde anónimo
    Me encontré un curso de Snort gratuito. Ya lo comencé a tomar y no se ve tan peor hasta eso. Aquí se los paso por si les interesa: http://planeta-di gital.com/cursos/course/view.php?id=34

     
    7.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (13/08/2002 03:43, #9)
      Por: sun
    Hice todo como pusistes pero me tira este error cuando quiero consultar por browser: PHP ERROR: PHP build incomplete: the prerequisite MySQL support required to read the alert database was not built into PHP. Please recompile PHP with the necessary library (--with-mysql) Soy novato, como lo puedo solucionar? Gracias

     
    8.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (13/08/2002 09:36, #10)
      Por: Bolo (http://linuca.org/todos.phtml?id_autor=1)
    Te falta soporte MySQL en php. Solucionalo con "apt-get install php4-mysql".

    Saludos.

     
    9.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (14/08/2002 00:12, #11)
      Por: sun
    Hice lo que me dijiste y me sigue tirando el mismo error

     
    10.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (06/07/2003 22:45, #796)
      Por: El cobarde anónimo
    recarga el apache

     
    11.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (18/07/2005 21:15, #3749)
      Por: El cobarde anónimo
    Amigos, la solución a este error no es con mysql y php, el que hay que instalar es acid con soporte mysql... apt-get install acid-mysql

     
    12.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (27/08/2002 03:47, #17)
      Por: fernando
    No lo pude instalar: apt-get install mysql-server apt-get install snort-mysql hasta ahi todo bien, pero despues hago mysqladmin -uroot password nueva-pass mysqladmin: connect to server at 'localhost' failed error: 'Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)' Check that mysqld is running and that the socket: '/var/run/mysqld/mysqld.sock' exists! Y me tira ese error, si miro en /var/run/mysqld , esta vacio no existe mysqld.sock lo desintale y volvi a instalar y me sigue tirando ese error, alguna idea de como solucionarlos porque me quede con las ganas de probarlo!! Gracias. Fernando

     
    13.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (12/11/2002 15:58, #120)
      Por: Lu
    antes de encender el televisor asegurate que este enchufado
    /etc/rc.d/init.d/mysqld start

     
    14.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (30/01/2006 18:59, #4696)
      Por: El cobarde anónimo
    Hola , intenta crear los usuarios desde phpmyadmin, es menos lios si eres novato , luego asegurate de tener todo lo necesario ya instalado y continua con la instalacion

     
    15.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (07/10/2002 21:18, #56)
      Por: El cobarde anónimo (http://www.telefonica-data.com.pe)
    Amigo , Te felicito por tu apoyo a la comunidad.Yo recien me estoy metiendo en lo de snort ya lo instale en RH 7.3 con rpm el 1.9.0-1snort, pero no se como configurarlo podrias recomendarme un manual para echarle una revisada Saludos Cesar .

     
    16.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (07/10/2002 22:25, #57)
      Por: Bolo
    Precisamente, aqui (http://www.snort.org/docs/snort-rh7-mysql-ACID-1-5.pdf) tienes una guia de instalación de snort mysql y acid en RH 7.3.
    La instalación en rh, no debe de ser muy diferente que en debian, por eso la guia del articulo tambien te será útil. Cambiar los comandos apt-get install por rpm -i... no creo que haya mas misterio ;-).

    Un saludo

     
    17.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (08/11/2002 16:14, #106)
      Por: Prometeux (http://www.linuca.org)
    Bueno gente.

    Si alguien está interesado , he conseguido poner el invento este para que escuche en ppp0 , será qeu soy un inutil pero me ha llevado tiempo :).

    si quereis info, comentar este articulo en esta web :).

    Gracias Bolo :P

     
    18.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (10/04/2003 19:31, #521)
      Por: El cobarde anónimo
    # This file is used for options that are changed by Debian to leave # the original lib files untouched. # You have to use "dpkg-reconfigure snort" to change them. DEBIAN_SNORT_STARTUP=boot DEBIAN_SNORT_HOME_NET="192.168.0.0/24" DEBI AN_SNORT_OPTIONS=" -i eth0" DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_TRESHOLD="1" Modifi ca la linea antes de ethx por ppp0

     
    19.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (22/05/2003 09:47, #663)
      Por: El cobarde anónimo (http://www.rezalfr.org)
    Thanks a lot, this paper help me successfully :-)

     
    20.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (06/11/2003 02:21, #1061)
      Por: Stolz (http://gsmlandia.com)
    ¡Estupendo artículo!. Muchas gracias, ya lo tengo funcionando en mi debian.

    Solo unos pequeños detalles, en la seccion:
    $alert_dbname = "snort";
    $alert_host = "localhost";
    $alert_port = "xxxxx";
    $alert_user = "snort";
    $alert_password = "";

    esas "xxxxx" debrian ir en la última linea ;-)
    Otra cosa mas, es que una vez descomprimido del archivo oinkmaster-0.6.tar.gz podemos borrarlo :P

    Y una ultima cosa, en la linea que se añade al /etc/crontab no figura el nombre de usuario. No se si esto es necesario o no, pero como yo siempre lo suelo poner pues me queda asi:
    00 6 * * * root cd /etc/snort/oinkmaster; ./oinkmaster.pl -o /etc/snort/ 2>&1 | logger -t oinkmaster


    Me surgen unas dudas. Es totalmente improbable que me ataquen desde mi red local, y veo que casi todos los logs son de IP's 192.168.0.X. Exactamente ¿que es lo que tengo que configurar para que solo se registre en las estadisticas el trafico que proviene de fuera de mi red local? No tengo claro donde indicarlo.

    Ademas el ACID usa la libreria GD para generar los graficos con PHP, pero yo desde hace tiempo uso la GD2, que es incompatible con la GD (no se pueden tener a la vez). ¿Alguien sabe si tiene soporte para GD2 ? si es asi, ¿donde le indico que use GD2 y no GD?

    Gracias de antemano.

    Un saludo.

     
    21.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (26/05/2004 21:52, #1736)
      Por: Perulinux (http://www.conectiva.com.pe)
    estoy trabajando en una campaña de cambio hacia software libre en las instituciones del estado peruano a nivel gobierno ,solo e aprendido a vender los servicios de seguridad ,control e interconexiòn de redes ,quisiera aprender mas sobre estos puntos ,ya que aqui en Peru hay una real intenciòn de cambio ,ya hemos tratado con casi todos lo ministerios y empresas mas importantes del pais y yo solo soy un representante de ventas y quiero aprender,hoy aprendi mucho sobre el snort,y sobre VPN con IPsec les agradeceria que me instruyan para llevar acabo este cambio que me trae totalmente fascinado ,porque soy la persona que esta compitiendo con otros sitemas operativos propietarios ,les agradezco de antemano la ayuda que me puiedan hacer llegar a mi mail.

     
    22.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (03/06/2004 22:10, #1758)
      Por: El cobarde anónimo
    hola me gustaria saber si me puedes ayudar a saber si esta funcionando el oinkmaster lo que pasa es que ya lo instale pero no se como ver si funciona, intales el oinkmaster-0.9.tar.gz, me prodias ayudar por favor, tu paguina esta muy bien bueno bye

     
    23.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (22/06/2004 20:48, #1811)
      Por: novato
    tengo dos pregunta, la situación es esta; tengo ya montando un sensor en una maquinaX y esta reportando a una bd remota que se encuentra en otra maquina la cual tiene snortcenter+ACID+MYSQL y no eh podido hacer que el sensor reporte a una BD local a él, como hago esto? y la otra es, que otro generador de reportes como ACID hay que trabajen con bastantes tráfico, gracias y espero su ayuda.

     
    24.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (12/08/2004 22:29, #2059)
      Por: ZikleR
    Tengo configuradas iptables en el equipo de casa. ¿Si instalo Snort detectará los ataques antes de que las iptables hagan su trabajo, o sólo detectará los paquetes que filtre el firewall? Gracias.

     
    25.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (13/08/2004 02:27, #2063)
      Por: El cobarde anónimo
    que tal a todos: como tengo debian woody en solo texto (sin ambiente grafico) desde otra comutadora me conecto (http://192.168.1.72/acidlab) con su browser y me da lo siguiente: Parse error: parse error in /etc/acidlab/acid_conf.php on line 36 Warning: Cannot send session cookie - headers already sent by (output started at /etc/acidlab/acid_conf.php:36) in /usr/share/acidlab/acid_state_common.inc on line 92 Warning: Cannot send session cache limiter - headers already sent (output started at /etc/acidlab/acid_conf.php:36) in /usr/share/acidlab/acid_state_common.inc on line 92 Analysis Console for Intrusion Databases Unknown Database type specified: a DBtype of '' was specified con lynx (desde la propia maquina localhost/acidlab)me marca un error no es muy aprecible: analysis Console for intrusion Databases (ACID) refresh(0 sec) http://192.168.1.72/acidlab/acid_main.php en que me equivoque? gracias saludos

     
    26.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (01/12/2005 17:49, #4404)
      Por: Cabax
    ami me pasaba lo mismo lo solucione instalando php4-session

     
    27.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (25/08/2004 23:14, #2114)
      Por: El cobarde anónimo
    Estimados: Hasta hace unas semanas estaba funcionando correctamente (RH9), se llenó la base Snort en Mysql y se rompieron 2 tablas la event y la opt, lo único que hice fue limpiar los datos y crear de nuevo las tablas, el problema es que cuando inicio el servicio snort me da el siguiente error: “FATAL ERROR: database: The underlying database seems to be running an older version of the DB schema (current version=0, required minimum version= 106).If you have an existing database with events logged by a previous version of snort, this database must first be upgraded to the latest schema (see the snort-users mailing list archive or DB plugin documention for details). If migrating old data is not desired, merely create a new instance of the snort database using the appropriate DB creation script (e.g. create_mysql, create_postgresql, create_oracle, create_mssql) located in the contrib\ directory. See the database documentation for cursory details (doc/README.database). and the URL to the most recent database plugin documentation.”, que se les ocurre que deba hacer Gracias

     
    28.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (10/11/2004 23:35, #2603)
      Por: El cobarde anónimo
    Como le hago para intersectar correos provenientes de otras maquinas con el snort, soy novata y todavia estoy aprendiendo

     
    29.  Servidor de logs (22/02/2005 19:43, #3269)
      Por: socohj
    Este artículo me fue de mucha utilidad,gracias,.... sin embargo ahora quisiera instalar tres o cuatro equipos con snort y que reportaran a un sólo equipo, es decir que abriera la página y que pudiera ver los logs de todas. Alguna información de como hacerlo?,....

     
    30.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (11/03/2005 23:20, #3306)
      Por: Cash
    Saludos, y bueno una felicitación por el articulo. Quisiera cometarles dos problemas, tengo un proxy firewall sobre White-box por x causa no puedo instalar mysql tengo problemas en las dpendencias, al instalar mysql me dice que le falta perl DBD y al instalar perl- DBD falla por que le hace falta mysql, sabe alguien que onda con esto. Y bueno la segunda, tengo un serviddor web detras del firewall y ahi tengo mysql ya instalado, la pregunta es simple puedo instalar snort ahi y decirle que sniffer la maquina en donde se encuentra el proxy- firewall? Les gradecere la ayuda o cualquier referenciaque me puedan ofrecer, por ultimo utilizo webmin para varios servicios y pienso agregar snort como modulo. Gracias y felicidades nuevamente. CASH

     
    31.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (01/08/2005 13:36, #3789)
      Por: El cobarde anónimo
    de donde puedo sacar el paquete snort-mysql para instalarlo ? gracias

     
    32.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (30/11/2005 20:35, #4400)
      Por: aganeml
    Yo he estado bajando el Snort y varios componentes desde esta pagina. http://dag.wieers.com/packages/snort/ A proposito, excelente el articulo. Gracias

     
    33.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (11/09/2005 16:03, #4008)
      Por: raul (http://www.linuca.org.com)
    m baje el acid pro 5 i cuando voi a ponerlo m pide un codigo como lo consigo?

     
    34.  SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (03/10/2005 03:09, #4116)
      Por: Daniel
    La verdad que vengo intentando con todas las ganas pero no logro que funcione, cuando intento visualizar por el navegador me aparece lo siguiente
    Warning: mysql_pconnect(): Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2) in /var/www/html/acid/adodb/drivers/adodb-mysql.inc.php on line 367


    Error (p)connecting to DB : snort@localhost

    Check the DB connection variables in acid_conf.php

    = $alert_dbname : MySQL database name where the alerts are stored
    = $alert_host : host where the database is stored
    = $alert_port : port where the database is stored
    = $alert_user : username into the database
    = $alert_password : password for the username

    Database ERROR:Can't connect to local MySQL server through socket '/tmp/mysql.sock' (2)

    Si alguien tiene idea de alguna causa se lo agradecería mucho, gracias

     
    35.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (25/10/2005 21:10, #4211)
      Por: Condor
    Hola. Voy siguiendo las instrucciones del manual paso a paso, pero no tengo el archivo /usr/share/doc/snort-mysql/contrib/create_mysql.gz Hago: lalo@Condor:~$ gunzip /usr/share/doc/snort-mysql/contrib/create_mysql.gz gunzip: /usr/share/doc/snort-mysql/contrib/create_mysql.gz: No such file or directory Antes hice secuencialmente: Condor:/home/lalo# apt-get install mysql-server Condor:/home/lalo# apt-get install snort-mysql lalo@Condor:~$ mysqladmin -uroot password mipassword lalo@Condor:~$ mysqladmin -uroot -p create snort Que habra pasado??? Gracias

     
    36.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (02/12/2005 20:26, #4423)
      Por: Manuel
    hola como estan bueno tengo el siguiente problema =============== ========= Snort received 27 packets Analyzed: 27(100.000%) Dropped: 0(0.000%) ============== ========== Breakdown by protocol: TCP: 20 (74.074%) UDP: 4 (14.815%) ICMP: 0 (0.000%) ARP: 3 (11.111%) EAPOL: 0 (0.000%) IPv6: 0 (0.000%) IPX: 0 (0.000%) OTHER: 0 (0.000%) DISCARD: 0 (0.000%) ============ ========= Action Stats: ALERTS: 0------------> como veran no produce ninguna alerta LOGGED: 0 PASSED: 0 ================= a pesar que he creado mi propio archivo de alerta uno sencillicimo, por lo que no puedo almacenar en la base de datos, y acid no muestra nada local.rule alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"Prueba de alerta"; ) bueno espero que no se grande el problema saludos Atte Manuel

     
    37.  Re: SNORT+MYSQL+ACID: Sistema de detección de intrusos open source. (09/12/2005 01:08, #4468)
      Por: Manuel
    hola despues de revisar, analizar, instalar varias veces con los pasos que indica no es lo necesario por que en algun lugar hay que configurar para que las alertas se guarden dentro la base de datos de mysql, estoy trabajando en debian 3.1 y acid no me da reportes....., alguien mas tiene este problema y logro solucionar, ya instale y desinstale varias veces con los pasos que indica este manual, y sigo teniendo el mimo problema con las alertas. Atte Manuel

     
    Calificacion
    ***0
    Votos: 40
    SECCIONES
    Artículo
    Truco
    Noticias
    Breve
    Enlace
    Linuca
    Libros
    Tira ECOL
    Tira Ecol
    Modificado: 9/9/2011 02:51:16 | Tiempo Total: 0.032 segs | Kernel: Linux - x86_64 - 2.6.18-xen | Last Boot: 03/12/2010 01:21 CET
    Powered By WEB-Bulma   Apache   Mysql   PHP   Gimp