Bastien Louche

Systèmes – Réseaux – Sécurité – Web | Tutoriels | CV
  • Accueil
  • CV
  • Contactez-moi

[Tutoriels] Installation de Snort + Basic Analysis and Security Engine

Bastien Louche | 24/02/2010 | 13:08

Lors de mon dernier stage en entreprise, j’ai eu pour projet de mettre en place un IDS (Intrusion Detection System) à l’aide de Snort pour la partie IDS et Basic Analysis and Security Engine (BASE) pour l’interprétation graphique des alertes, le système utilisé est Debian Lenny. Ce tutoriel présente succinctement l’installation de Snort et de BASE.

Installation de Snort :

Pré-requis :

apt-get install apache2
apt-get install mysql-server
apt-get install php5 php5-mysql php5-gd php-pear

1 ) Installation de Snort via apt-get install :

apt-get install snort-mysql

Pendant l’installation je sélectionne le réseau 192.168.0.0/24 et je choisis de ne pas installer la base SQL directement.

Si une erreur apparait, il faut supprimer le fichier /etc/snort/db-pending-config

2 ) Installation manuelle de la base SQL sur MySQL :

mysql -u root -p
>create database snort;

Création d’un utilisateur MySQL pour Snort :

>grant all on snort.* to snortuser@localhost identified by ‘snortpwd’;

>flush privileges;

Importation des tables SQL dans la base SQL que je viens de créer.

On dézippe le fichier /usr/share/doc/snort-mysql/create_mysql.gz

mysql -u root -p snort < /usr/share/doc/snort-mysql/create_mysql

3 ) Configuration de Snort :

J’ouvre le fichier de configuration de Snort /etc/snort/snort.conf

Je modifie les lignes entre (#DBSTART#) et (#DBEND#) pour ajouter la configuration SQL.

output database: log, mysql, user=snortuser password=snortpwd dbname=snort host=localhost

Et j’enlève les commentaires pour les lignes suivantes en ajoutant aussi la configuration SQL.

ruletype redalert
{
type alert
output alert_syslog: LOG_AUTH LOG ALERT
output database: log, mysql, user=snortuser password=snortpwd dbname=snort host=localhost
}

Je peux tester Snort avec la commande suivante :

snort –u snort –c /etc/snort/snort.conf

 

Installation de Basic Analysis and Security Engine (BASE) :

Pré-requis :

pear install Mail 

pear upgrade PEAR 

pear install Mail_Mime

pear install Image_Color 

pear install –force Image_Canvas 

pear install –force Image_Graph

1 ) Téléchargement de BASE et ADOdb :

Je télécharge la dernière version de BASE sur http://base.secureideas.net/

Je dézippe le fichier et je le transfère vers le répertoire /var/www

Je télécharge aussi la dernière version de ADOdb (Active Data Objects Data Base) sur http://adodb.sourceforge.net/

Je dézippe le fichier et je le transfère vers le répertoire /var/www/base-X.X.X/

2 ) Installation de BASE via un navigateur :

Je donne les droits d’écriture à l’utilisateur www-data pour réaliser l’installation.

Je me rends sur http://IP/base-X.X.X/ et je fais la configuration de BASE via l’interface graphique en indiquant le chemin vers ADOdb et la configuration SQL de Snort.

3 ) Configuration de BASE :

J’édite le fichier /var/www/base-X.X.X/base_conf.php

J’ajoute la résolution DNS des IP ainsi que la colorisation des alertes :

$resolve_IP= 1;

$colored_alerts = 1;


 Conclusion :

Je peux faire un Nmap vers l’IP de mon IDS et voir si Snort remonte bien les alertes via l’interface BASE disponible sur http://IP/base-X.X.X/base_main.php

Commentaires
66 Commentaires »
Catégories
Tutoriels
Tags
Debian, IDS, IP, Linux, Logiciels Libres, Réseaux, Sécurité, Serveur, Snort, Systèmes, Web
Flux rss des commentaires Flux rss des commentaires
Trackback Trackback

Entrées Suivantes »

Recherche

Réseaux sociaux

CV Bastien Louche

Pages

  • CV
  • Contactez-moi

Catégories

  • Tutoriels (8)

Commentaires récents

  • KOUAME ALEXIS dans [Tutoriels] Installation de Snort + Basic Analysis and Security Engine
  • Xowhite dans [Tutoriels] Installation de Snort + Basic Analysis and Security Engine
  • stephan dans [Tutoriels] Installation de Snort + Basic Analysis and Security Engine
  • Nomoreblur dans [Tutoriels] Benchmarker un serveur web Apache 2 avec Apachebench
  • cheikh dans [Tutoriels] Installation de Snort + Basic Analysis and Security Engine

Mots-clefs

Apache Apachebench Blog Cherokee Debian DNS DNSSEC HAProxy IDS IP Linux Logiciels Libres Nginx Réseaux Serveur Snort Systèmes Sécurité Web Windows YOURLS

Twitter

  • Le flux RSS de ce compte twitter ne semble pas disponible pour le moment.

Suivre @bastienlouche sur Twitter.

April


Promouvoir et soutenir le logiciel libre