Konfiguro Barnyard 2 With Snort

Barnyard2 është një mënyrë për të ruajtur dhe përpunuar rezultatet binare nga Snort në një bazë të dhënash MySQL.

Para se të fillojmë

Ju lutemi vini re se nëse nuk keni të instaluar snort në sistemin tuaj, ne kemi një udhëzues për instalimin e snort në sistemet debian . Duhet të keni të instaluar snort që të funksionojë ky sistem.

Përditësoni, përmirësoni dhe rindizni

Përpara se të kapim burimet e Snort (S), duhet të sigurohemi që sistemi ynë të jetë i përditësuar. Këtë mund ta bëjmë duke lëshuar komandat e mëposhtme.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Para-instaloni konfigurimin

Nëse nuk e keni të instaluar MySQL, mund ta instaloni me komandën e mëposhtme,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Nëse nuk e keni të instaluar dhe konfiguruar sistemin e zbulimit të ndërhyrjes në rrjet (IDS) Snort, ju lutemi konsultohuni me dokumentacionin e instalimit të dokumentacionit

Vendosja e Barnyard2

Për të instaluar Barnyard, ne duhet të marrim burimin nga faqja github e Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Tani që kemi burimin për barnyard, duhet të kalojmë në autoreconfbarnyard.

sudo autoreconf -fvi -I ./m4

Përditëso referencat e bibliotekës së sistemit

Pasi të përfundojë kjo, duhet të bëni një lidhje simbolike në bibliotekën dumbnet si dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Për shkak se në thelb kemi krijuar një bibliotekë të re të sistemit, duhet të përditësojmë cache-in e bibliotekës së sistemit. Kjo mund të bëhet duke lëshuar komandën e mëposhtme:

sudo ldconfig

Konfigurimi i Barnyard2 për MySQL

Kjo pjesë është e rëndësishme sepse varet nëse sistemi juaj është ose jo një sistem 64 bit ose një sistem 32 bit.

Nëse nuk jeni të sigurt nëse sistemi juaj është 64 bit ose 32 bit, mund ta përdorni uname -mose archta arrini këtë.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Kështu që ai konfigurim duhet të duket si ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopjimi i konfigurimeve

Në mënyrë që të konfigurojmë barnyard siç duhet dhe ta lëmë të funksionojë me sistemin tonë, duhet të kopjojmë skedarët tanë të konfigurimit. Gjithashtu, ju lutemi vini re, ndërsa unë e testova këtë, më duhej të krijoja drejtorinë e regjistrave për barnyard2, përndryshe ekzekutimi i tij do të dështonte.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Krijimi i bazës së të dhënave

Tani që shembulli ynë i barnyard është vendosur kryesisht, ne duhet të krijojmë dhe të lidhim një bazë të dhënash me konfigurimin tonë.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Konfigurimi i barnyard për përdorim me MySQL

Në rast se nuk ju ka ndodhur të ndryshoni fjalëkalimin në komandën e mësipërme, mund ta rivendosni fjalëkalimin duke rifutur komandën mysql dhe duke futur

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Në fund të /etc/snort/barnyard2.confskedarit tuaj shtoni sa vijon dhe modifikoni fjalëkalimin në atë që keni vendosur më sipër.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Për qëllime sigurie, ne duhet të mbyllim skedarin tonë barnyard.conf sepse ai përmban fjalëkalimin tuaj të bazës së të dhënave në tekst të qartë.

sudo chmod o-r /etc/snort/barnyard2.conf

Duke testuar

Mund ta testoni gërhitjen duke e ekzekutuar në modalitetin e alarmit duke përdorur skedarin tuaj të konfigurimit.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Pasi të funksionojë snort, hapni një terminal tjetër dhe bëni ping adresën e atij sistemi, duhet të jeni në gjendje të shihni mesazhet në terminalin tuaj kryesor.

Tani që keni disa të dhëna në regjistrat tuaj të gërhitës, duhet të jeni në gjendje të testoni barnyard kundër tyre.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Këta flamuj në thelb nënkuptojnë sa vijon.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Pas fillimit të barnyard, sapo të Waiting for new datashfaqet, mund të dilni nga aplikacioni duke shtypur ctrl + ctani për të kontrolluar bazën e të dhënave MySQL duke u identifikuar përsëri në serverin MySQL dhe duke zgjedhur të gjitha nga eventtabela në snortbazën e të dhënave tuaja .

mysql -u snort -p snort
select count(*) from event;

Për sa kohë që numërimi është më shumë se 0, gjithçka funksionoi siç duhet!

Megjithatë, nëse numërimi është 0, ju me siguri jeni duke pinguar sistemin tuaj nga një sistem që përputhet me një IP të listës së bardhë. Nëse është kështu, provoni të pingoni sistemin tuaj nga jashtë rrjetit tuaj dhe të siguroheni që ai është i ekspozuar ndaj botës së jashtme.

Urime, tani keni një mënyrë për të lexuar dhe mbajtur gjurmët e ndërhyrjeve tuaja të zbuluara.