openfpc

linuxOra non ci manca che installare un programma per la cattura dei pacchetti da integrare con Snorby: openfpc.

Prerequisiti

apt-get install apache2 tcpdump tshark libarchive-zip-perl \
  libfilesys-df-perl libapache2-mod-php5 mysql-server php5-mysql \
  libdatetime-perl libdbi-perl libdate-simple-perl php5-mysql \
  libterm-readkey-perl libdate-simple-perl libtimedate-perl \
  build-essential  libpcap-dev

Libdnet

cd /usr/local/src/
wget http://prdownloads.sourceforge.net/libdnet/libdnet-1.11.tar.gz?download
mv libdnet-1.11.tar.gz\?download libdnet-1.11.tar.gz
tar xvzf libdnet-1.11.tar.gz
cd libdnet-1.11/
./configure --prefix=/usr/local/
make
make install

Daemonlogger

cd /usr/local/src/
wget http://www.snort.org/downloads/463
mv 463 daemonlogger-1.2.1.tar.gz
tar xzvf daemonlogger-1.2.1.tar.gz
cd daemonlogger-1.2.1/
./configure --prefix=/usr/local/
make
make install

CXtracker

cd /usr/local/src/
wget http://github.com/downloads/gamelinux/cxtracker/cxtracker_0.9.5-1_i386.deb --no-check-certificate
dpkg -i cxtracker_0.9.5-1_i386.deb

Installazione 

cd /usr/local/src/
wget http://openfpc.googlecode.com/files/openfpc-0.6-314.tgz
tar xzvf openfpc-0.6-314.tgz
cd openfpc-0.6-314/

Editiamo il file openfpc-install.sh e cancelliamo daemonlogger dalla lista delle dipendenze (l’abbiamo installato dai sorgenti)

function checkdeps()
{
       if [ "$DISTRO" == "DEBIAN" ]
       then
               DEPS="apache2 daemonlogger tcpdump tshark libarchive-zip-perl 
libfilesys-df-perl libapache2-mod-php5 mysql-server php5-mysql libdatetime-perl 
libdbi-perl libdate-simple-perl php5-mysql libterm-readkey-perl libdate-simple-
perl"
...

Ora installiamo openfpc dal file::

./openfpc-install.sh install

Configurazione

Editiamo il file:

nano /etc/openfpc/openfpc-default.conf

Configuriamo l’interfaccia di ascolto,l’utente base e attiviamo la sessione:

INTERFACE=eth0
USER=root=openfpcpassword
ENABLE_SESSION=1

Verifichiamo la configurazione:

openfpc -a status

Creiamo il database:

openfpc-dbmaint create session /etc/openfpc/openfpc-default.conf

 

Start e Stop di openfpc

openfpc -a start
openfpc -a stop

 

Usare OpenFPC con Snorby

Inserite l’url nella schermata generale di amministrazione con utente e password che avete inserito il precedenza.

http://<ip_server>/openfpc/cgi-bin/extract.cgi?sip=1.1.1.1&spt=31337&dip=2.2.2.2&dpt=80&proto=tcp&timestamp=1299421428

 

 

snorbyOpenfpc

Articoli Correlati:

  1. Installare Snort da sorgenti su Debian 6.0
  2. FreeRADIUS
  3. Cisco IOS su Unix/Linux con IOU-WEB
taggato con , ,