Installer Snort Snort-MySql et AcidBase sur Debian squeeze

21 Jun 2011 , , ,

Snort est un IDS (Intrusion Detection System) permettant de sniffer le réseau et de rapporter les tentatives d'intrusions, scan de port etc.... Il est maintenu par la société Sourcefire et bénéficie d'une communauté importante. Vous trouverez beaucoup de documentation à son sujet. Ici je vais vous décrire une méthode simple via les paquets pour installer snort sur une Debian squeeze. On va installer la version mysql de snort qui permet de loguer directement en base de donnée et se servir d'AcidBase pour interpréter ces données.

Versions

A l'heure où j'écris ces lignes les versions sont les suivantes:

Prérequis

Avoir une debian à jour Avoir installé apache, php et mysql (je n'expliquerais pas ici car vous pouvez trouver moult ressources sur le sujet ;-) Avoir installé nmap sur votre pc

Être logué en root pour ce qui va suivre:

Installation de la base Snort

Créer un utilisateur mysql snort une base de donnée snort et donner à l'utilisateur tout les droits sur cette base:

mysql
mysql> CREATE DATABASE snort;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
mysql> grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
mysql> SET PASSWORD FOR snort@localhost=PASSWORD('votrePasswordSnort');
mysql> SET PASSWORD FOR snort=PASSWORD('votrePasswordSnort');
mysql> flush privileges;

Installation de Snort

apt-get install snort-mysql snort-rules-default

Répondez aux questions concernant les paramètres de connexion à la base de donnée. Ce n'est pas bien grave si vous ne répondez pas maintenant. Une fois l'installation terminée vous aurez un message comme quoi l'installation n'est pas complète, snort aura créé un fichier 'flag' empêchant la suite du paramétrage. C'est normal car il faut importer le schéma de base de donné de snort qui se trouve dans /usr/share/doc/snort-mysql. Nous allons donc l'importer:

cd /usr/share/doc/snort-mysql
zcat create_mysql.gz | mysql -u snort -D snort -pvotrePasswordSnort

Si l'importation s'est bien passé, vous devriez voir les tables dans la base snort. Supprimez alors le fichier flag:

rm /etc/snort/db-pending-config

Et relancez l'utilitaire de configuration de snort:

dpkg --configure --pending
dpkg-reconfigure snort-mysql

Répondez aux questions et à la fin vérifiez si snort est bien lancé:

/etc/init.d/snort status

Installation d'AcidBase

apt-get install acidbase

A un moment l'instaler vous demande le mot de passe, mettez celui de votre user snort. A la fin de l'installation, acidBase aura créé un lien symbolique /etc/apache2/conf.d/acidbase.conf -> /etc/acidbase/apache.conf qui est le fichier de config pour ajouter l'alias acidbase. Editer le fichier:

vi /etc/acidbase/apache.conf

Modifiez la ligne "allow from 127.0.0.0/255.0.0.0" pour mettre votre ip (pas celle de votre serveur) sinon vous aurez un joli forbiden. Exemple: allow from 82.234.53.205/255.255.255.255

service apache2 reload

Connectez-vous à votreSite.com/acidbase. Au départ vous aurez un message comme quoi il faut paramétrer acidbase et adapter la configuration de la base de snort. Suivez le wizard et c'est bon, tout est installé ^^

Test

Un simple scan de port avec nmap va entrainer des alertes snort. Lancez cette commande depuis votre pc:

nmap -p1-65535 -sV -sS -O votreSite.com

Ensuite rendez-vous sur votreSite.com/acidbase et admirez le résultat.

comments powered by Disqus