Fruto de algún comentario y correos voy a tratar en este artículo la configuración, de forma muy sencilla, de Snort para el envío de las alertas a una base de datos, en este caso MySql. Crearemos la base de datos y toda la configuración necesaria para la comunicación entre Snort y MySql.
Hemos instalado Mysql, creado la contraseña de root.
Creación de la base de datos snort.
mysql -u root -p
> create database snort;
> exit
Ahora vamos a ejecutar el script create_mysql para crear las tablas que serán usadas por snort:
mysql -u root -p -D snort < c:\Snort\schemas\create_mysql
Enter password: **************
mysql -u root -p
Enter password: **************
Otorgamos permisos:
> grant insert,select,update,create,delete on snort.* to snort@localhost identified by ‘snortpass’;
>exit
Comprobamos que todo está correcto y se crearon las tablas:
mysql -u snort -p
Enter password: *********
> use snort
> show tables;
+——————+
| Tables_in_snort |
+——————+
| data |
| detail |
| encoding |
| event |
| icmphdr |
| iphdr |
| opt |
| reference |
| reference_system |
| schema |
| sensor |
| sig_class |
| sig_reference |
| signature |
| tcphdr |
| udphdr |
+——————+
16 rows in set (0.00 sec)
Configuración de Snort. Archivo snort.conf
La parte del fichero snort.conf correspondiente a la configuración de base de datos es:
# database: log to a variety of databases
# —————————————
# See the README.database file for more information about configuring
# and using this plugin.
#
# output database: log, mysql, user=root password=test dbname=db host=localhost
# output database: alert, postgresql, user=snort dbname=snort
# output database: log, odbc, user=snort dbname=snort
# output database: log, mssql, dbname=snort user=snort password=test
# output database: log, oracle, dbname=snort user=snort password=test
Realizamos el siguiente cambio:
Descomentamos:
# output database: log, mysql, user=root password=test dbname=db host=localhost
y los dejamos de esta forma:
output database: log, mysql, user=root password=snortpass dbname=db host=localhost
Ahora las alertas serán dirigidas a la base de datos.
Pingback: TNV. Herramienta gráfica de visualización e interpretación de tráfico de red. | Seguridad y Redes