CentOS 6: realizzare un network intrusion detection system open source – Parte 2

In questo post ho mostrato come configurare il software che funge da sensore, ovvero snort.
Adesso vedremo come installare e configurare pulledpork (che si occuperà dell'aggiornamento delle firme) e barnyard2 (per il salvataggio degli allarmi all'interno di un DB).
Installazione e configurazione di pulledpork Per prima cosa occorre installare i prerequisiti, ovvero perl-libwww-perl perl-Crypt-SSLeay e perl-Archive-Tar: yum -y install perl-libwww-perl perl-Crypt-SSLeay perl-Archive-Tar Posizioniamoci nella dir /usr/local/src  e scarichiamo l'applicativo in questione (scritto in Perl): wget https://pulledpork.googlecode.com/files/pulledpork-0.7.0.tar.gz per poi scompattare l'archivio, rendere lo scrip eseguibile e copiarlo all'interno di /usr/sbin (assegnandogli i giusti privilegi): tar -xvf pulledpork-0.7.0.tar.gz cd pulledpork-0.7.0 chmod +x pulledpork.pl cp pulledpork.pl /usr/sbin chmod 755 /usr/sbin/pulledpork.pl A questo punto possiamo copiare i file *.conf (presenti nella directory etc) all'interno di /etc/snort, con il successivo editing dei permessi: cd etc cp * /etc/snort chown -R snort:snort /etc/snort Ora modifichiamo il contenuto del file /etc/snort/pulledpork.conf, apportando le seguenti modifiche: snort_path=/usr/sbin/snort config_path=/etc/snort/snort.conf distro=Centos-5-4 rule_path=/etc/snort/rules/snort.rules out_path=/etc/snort/rules/ sid_msg=/etc/snort/sid-msg.map black_list=/etc/snort/rules/black_list.rules #IPRVersion=/usr/local/etc/snort/rules/iplists enablesid=/etc/snort/enablesid.conf dropsid=/etc/snort/dropsid.conf disablesid=/etc/snort/disablesid.conf modifysid=/etc/snort/modifysid.conf rule_url=https://www.snort.org/reg-rules/|snortrules-snapshot-2975.tar.gz| rule_url=https://s3.amazonaws.com/snort-org/www/rules/community/|community-rules.tar.gz|Community rule_url=http://labs.snort.org/feeds/ip-filter.blf|IPBLACKLIST|open rule_url=https://www.snort.org/reg-rules/|opensource.gz| Da notare che ho commentato la direttiva IPRVersion ed ho scelto un nome specifico per le blacklist (ovvero black_list.rules), in quando devono essere differenziate da quelle utilizzate da snort (reputation preprocessor).
Per la precisione, il file black_list.rules non è altro che una lista piatta di indirizzi IP, a differenza del file blacklist.rules che possiede il tipico formato delle regole di snort (ad esempio alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS).
Testiamo adesso la configurazione di pulledpork mediante il comando: pulledpork.pl -vv -c /etc/snort/pulledpork.conf -T -l e se il relativo output contiene [...]

Leggi tutto l'articolo