Instalación de Snort + MySQL + Apache2 en Debian Lenny

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamien tanto en archivos de texto como en bases de datos. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas UNIX/Linux y Windows. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

—Primero vamos a instalar los paquetes necesarios: (suponiendo que no tengamos ya un apache corriendo)
# apt-get install mysql-server apache2 php5

—A continuación instalamos los paquetes de snort.
# apt-get install snort-mysql libio-socket-ssl-perl snort-doc

Nos realizara las siguientes preguntas:

Intervalo de direcciones para la red local

192.168.1.0/24 o la red en la que estemos.

¡OJO! Nos dará el siguiente error: (mas adelante lo reconfiguramos)

error_snort_mysql

—Ahora crearemos la base de datos para snort, el usuario snort y la contraseña snort y le garantizamos todos los permisos: (para acceder a MySQL como root, nos solicitara la contaseña del mismo)
# mysql -uroot -p
mysql> CREATE USER ’snort’@'localhost’ IDENTIFIED BY ’snort’;
mysql> GRANT ALL PRIVILEGES ON * . * TO ’snort’@'localhost’ IDENTIFIED BY ’snort’;
mysql> CREATE DATABASE IF NOT EXISTS `snort` ;
mysql> GRANT ALL PRIVILEGES ON `snort` . * TO ’snort’@'localhost’;

—Creamos las tablas dentro de la BBDD de snort con el usuario snort utilizando un script: (ponemos la contraseña de snort)
# cd /usr/share/doc/snort-mysql/
# zcat create_mysql.gz | mysql -u snort -h localhost -p snort

—Solucionamos el error anterior borrando el fichero que nos indica el error.
# rm /etc/snort/db-pending-config

—Para acabar de instalar snort-mysql ejecutamos:
# apt-get upgrade

—Reconfiguramos el paquete snort-mysql para que nos haga todas las preguntas: (también podriamos hacerlo manualmente modificando el archivo snort.conf)
# dpkg-reconfigure -plow snort-mysql

Nos formulará las siguientes preguntas:

1.- Método de arranque: arranque
2.- Indicamos la interfaz: eth0
3.- Indicamos la red: 192.168.1.0/24
4.- Desactivar el modo promiscuo de la interfaz: NO
5.- Cambiarse el orden de las pruebas: NO
6.- Opciones adicionales: no ponemos nada, Aceptamos
7.- Recibir mails con resumenes?: a la elecció del usuario
8.- Ocurrencias antes de incluir una alerta: 5
9.- Quiere configurar una base de datos: SI
10.- Servidor de base de datos: localhost
11.- Base de datos: snort
12.- Usuario base de datos: snort
13.- Contraseña del usuario: snort

—Verificamos que los ficheros de configuración sean correctos.
# snort -devyq -c /etc/snort/snort.conf -l /var/log/snort/ -D
# snort -c /etc/snort/snort.conf

—Comprobamos que este corriendo snort.
# ps -ef | grep snort
# /etc/init.d/snort status

—Por último reiniciamos snort y verificamos que este corriendo:
# /etc/init.d/snort restart
# ps -ef | grep snort

http://nekan.net/instalacion-de-snort-mysql-apache2-en-debian-lenny

AGRADECER NO CUESTA NADA!!!