Una rete che si possa definire "sicura" deve necessariamente utilizzare un IDS per identificare i tentativi di intrusione. Inoltre, è indispensabile che venga controllato il corretto funzionamento dell'IDS, in modo da evitare tempi morti durante i quali il network risulti "sguarnito". A tal proposito ho deciso di monitorare il mio IDS (per la precisione snort), attraverso l'uso di nagios (nella fattispecie la versione 3.0).
Ma andiamo con ordine. Per prima cosa scarichiamo l'add-on di nagios denominata check_snort (non è altro che un semplice script bash). Potete trovarlo a questo indirizzo.
Successivamente scompattiamo la tarball mediante il comando:
nightfly@nightbox:~$ tar -xf check_snort.tar
e copiamo il file check_snort dentro la directory /usr/lib/nagios/plugins:
nightfly@nightbox:~$ cp check_snort /usr/lib/nagios/plugins/
Creiamo quindi un servizio specifico che si occupi di controllare lo stato di snort:
nightfly@nightbox:~$ cd /etc/nagios-plugins/config
nightfly@nightbox:/etc/nagios-plugins/config$ sudo nano snort.cfg
inserendo all'interno del file appena creato il seguente contenuto:
# 'check_snort' command definition
define command{
command_name check_snort
command_line /usr/lib/nagios/plugins/check_snort
}
A questo punto possiamo aggiungere il seguente servizio alla configurazione dell'host su cui vogliamo attivarlo:
nightfly@nightbox:~$ cd /etc/nagios3/conf.d
nightfly@nightbox:/etc/nagios3/conf.d$ sudo nano localhost_nagios2.cfg
e digitiamo:
define service{
use generic-service ; Name of service template to use
host_name localhost
service_description Snort
check_command check_snort
}
salviamo il tutto, riavviamo nagios:
nightfly@nightbox:/etc/nagios3/conf.d$ sudo service nagios3 restart
ed abbiamo finito.
Adesso anche snort è sotto il controllo di nagios.
A presto.