Para instalar el programa de detección de intrusos, se debe realizar lo siguiente:
# apt-get install snort // Instalación de snort
Los directorios y archivos que se crean tras la instalación son los siguientes:
/etc/snort --> En este directorio se encuentra el archivo de configuración snort.conf, en el cual se configuran las opciones más generales de snort.
/etc/snort/rules --> Contiene los archivos con las reglas por defecto que vienen preinstaladas en snort.
/var/log/snort --> Contiene las alertas almacenadas en bitácoras. En este directorio se puede encontrar el archivo alert, el cual contiene las alertas generadas por snort.
Luego de tener esto en claro, se procede a editar el archivo de configuración /etc/snort/snort.conf:
# kwrite /etc/snort/snort.conf & // Edita el archivo con kwrite en segundo plano
Se deben editar las siguientes líneas:
- var RULE_PATH /etc/snort/rules
- output database:log,mysql, user=snort \ password=Contraseña_de_BBDD
Ya teniendo configurado snort, se procede a inic
Instalación y configuración de MySQL:
# apt-get install mysql-client-5.0 mysql-server-5.0 // Instalación de mysql
Para iniciar el servidor se ejecuta lo siguiente:
# /etc/init.d/mysqld start
# mysql
mysql> CREATE DATABASE snort;
mysql> SET PASSWORD FOR \ root@localhost=PASSWORD(‘Contraseña_de_la_BBDD’);
// Se asigna la contraseña para el ingreso a labase de datos
mysql> exit // Se sale de la shell
# cd /usr/src // Se Situa en el directorio donde se va a descargar el codigo fuente de snort
# tar zxvf snort-2.8.3.1.tar.gz // Extrae los archivos
# mysql -u root -p < /usr/src/snort-2.8.3.1/schemas/create_mysql \ snort // Crea las tablas de la base de datos.
Al hacer esto se debe ingresar la contraseña que se creó anteriormente y luego comprobar que la base de datos ya esta preparada. Para realizar esto se ejecuta lo siguiente en la consola de MySQL:
mysql> use snort; // Usa la BBDD llamada snort
mysql> show tables; // Muestra las tablas de la BBDD seleccionada
La salida en la consola de ésta última orden debe ser:
Instalación y configuración de BASE:
# cd /var/www/ // Se sitúa en el directorio donde se van a ubicar los archivos de descarga
# wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz
// Descarga de BASE
# tar zxvf base-1.3.9.tar.gz //Extrae los archivos de BASE
# mv base-1.3.9 base // Copia los archivos a la carpeta base
# rm base-1.3.9.tar.gz // Borra los archivos de descarga
# cp /var/www/base/base_conf.php.dist /var/www \ /base/base_conf.php
// Cambia el nombre del archivo de configuración
$BASE_urlpath= '/base';
$DBlib_path = '/var/www/base/adodb/';
$alert_dbname = 'snort';
$alert_user = '
$alert_password = '
Instalación de ADODB:
# cd /var/www/base // Se sitúa en el directorio de descarga
# tar zxvf adodb495a.tgz // Extrae los archivos por defecto una carpeta llamada adodb
# rm adodb495a.tgz // Borra los archivos de descarga
Instalación de PEAR:
# apt-get install php-pear // Instalación de pear
# pear install Image_Color // Instalación del modulo
# pear install Image_Canvas-alpha // Instalación del modulo
# pear install Image_Graph-alpha // Instalación del modulo
http://localhost/base_main.php
Luego se le da clic en el link “Setup page” y en la siguiente pantalla en el botón “AG”.
Si todo va bien aparece una pantalla indicando que se ha terminado de crear la base de datos que snort utilizará para mostrar las alertas.
Para acceder remotamente a la interface web de BASE e interactuar con el IDS se utiliza la siguiente sintaxis URL:
http://direccion_IP/base_main.php
donde la dirección IP es la del servidor IDS, aunque si el acceso es local la dirección IP corresponde a la dirección local 127.0.0.1.
Es importante destacar que en el momento de acceder al portal de BASE, se debe confirmar la excepción de seguridad que el navegador web ofrece para poder instalar el certificado de seguridad en éste, y poder así tener acceso al servidor web seguro.
El portal BASE ya configurado se ve de la siguiente manera:
http://direccion_IP/base_main.php
donde la dirección IP es la del servidor IDS, aunque si el acceso es local la dirección IP corresponde a la dirección local 127.0.0.1.
Es importante destacar que en el momento de acceder al portal de BASE, se debe confirmar la excepción de seguridad que el navegador web ofrece para poder instalar el certificado de seguridad en éste, y poder así tener acceso al servidor web seguro.
El portal BASE ya configurado se ve de la siguiente manera:
No hay comentarios:
Publicar un comentario