Mise en place de Snort & BASE (Basic Analysis and Security Engine)

From Deimos.fr / Bloc Notes Informatique
Jump to: navigation, search

1 Introduction

Snort est ce que l'on appelle un IDS (Intrusion Detection System) et même plus précisément un NIDS passif (Network Intrusion Detection System). Il est donc capable dire qui est en train d'essayer de forcer votre système.

C'est pour le moment pas super au point, mais c'est toujours moins cher que certains IPS (Intrusion Prevention System). Snort couplé avec BASE, donne vraiment une aisance au niveau de la détection d'intrusions.

2 Installation et configuration

Documentation sur l'installation et la configuration de Base et Snort

2.1 A la sauce Debian

Pour ma part, je n'ai suivit qu'une petite partie puisque j'ai utilisé directement les packets Debian (avantages des mises à jours auto). Pour ceux qui veulent prendre la même route :

apt-get install snort-mysql php5-gd libpcre3 acidbase python-adodb

Alors, explications pour les néophytes :

  • Snort est l'outil qui va écouter en mode promiscous sur une ou plusieurs de vos cartes réseaux et ainsi détecter d'éventuels tentatives
  • BASE/AcidBase est celui qui va lire les résultats de Snort enregistré dans la base SQL (ou autre)

C'est marqué dans la doc mais pour les gens comme moi qui préférent lire entre les lignes, voici la commande pour tester la configuration de son snort :

snort -c /etc/snort/snort.conf

3 FAQ

3.1 BASE : Database ERROR: Table 'snort.iphdr' doesn't exist

Si vous rencontrez ce problème suite à une mise à jour ou réinstallation, il suffit juste de réimporter un fichier sql. Mieux vaut la pratique que les longs discourts :

cd /usr/share/doc/snort-mysql/
gzip -d create_mysql.gz
mysql -uroot -pPASSWORD -D snort < create_mysql

Et voilà ! Donc c'était franchement pas la mort, et BASE est de nouveau démarré :-)

4 Ressources

Another Documentation on Base and Snort
Mise en place de Snort (IDS), OSSEC (HbIDS) et Prelude (HIDS)
http://oinkmaster.sourceforge.net/