Configura Barnyard 2 amb Snort

Barnyard2 és una manera d'emmagatzemar i processar les sortides binàries de Snort en una base de dades MySQL.

Abans de començar

Tingueu en compte que si no teniu snort instal·lat al vostre sistema, tenim una guia per instal·lar snort als sistemes Debian . Heu de tenir instal·lat snort perquè aquest sistema funcioni.

Actualitzar, actualitzar i reiniciar

Abans de posar les mans a les fonts Snort (S), ens hem d'assegurar que el nostre sistema estigui actualitzat. Ho podem fer emetent les ordres següents.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuració prèvia a la instal·lació

Si no teniu MySQL instal·lat, podeu instal·lar-lo amb la següent comanda,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Si no teniu el sistema de detecció d'intrusions de xarxa (IDS) Snort instal·lat i configurat, consulteu la documentació documentació d' instal·lació

Configuració de Barnyard2

Per instal·lar Barnyard, hem d'agafar la font de la pàgina github de Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Ara que tenim la font per a corral, necessitem autoreconfcorral.

sudo autoreconf -fvi -I ./m4

Actualitzar les referències de la biblioteca del sistema

Un cop acabat, heu de fer un enllaç simbòlic a la biblioteca dumbnet com a dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Com que bàsicament hem creat una nova biblioteca del sistema, hem d'actualitzar la memòria cau de la biblioteca del sistema. Això es pot fer emetent l'ordre següent:

sudo ldconfig

Configuració de Barnyard2 per a MySQL

Aquesta part és important perquè depèn de si el vostre sistema és o no un sistema de 64 bits o un sistema de 32 bits.

Si no esteu segur de si el vostre sistema és de 64 o de 32 bits, podeu utilitzar-lo uname -mo archper aconseguir-ho.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Així que aquesta configuració hauria de semblar ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Còpia de configuracions

Per configurar el corral correctament i deixar-lo funcionar amb el nostre sistema, hem de copiar els nostres fitxers de configuració. A més, tingueu en compte que, mentre ho provava, vaig haver de crear el directori de registre per a barnyard2, sinó executar-lo fallaria.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Creació de la base de dades

Ara que la nostra instància de corral s'ha configurat principalment, hem de crear i associar una base de dades amb la nostra configuració.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Configuració del corral per utilitzar-lo amb MySQL

En cas que no hagis canviat la contrasenya a l'ordre anterior, pots restablir la contrasenya tornant a introduir l'ordre mysql i introduint

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

A la part inferior del /etc/snort/barnyard2.conffitxer, afegiu el següent i editeu la contrasenya a la que heu establert més amunt.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Per motius de seguretat, hem de bloquejar el nostre fitxer barnyard.conf perquè conté la contrasenya de la vostra base de dades en text clar.

sudo chmod o-r /etc/snort/barnyard2.conf

Prova

Podeu provar snort fent que s'executi en mode d'alerta mitjançant el vostre fitxer de configuració.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Un cop snort s'executa, obriu un altre terminal i feu ping a l'adreça d'aquest sistema, haureu de poder veure els missatges al vostre terminal principal.

Ara que teniu algunes dades als vostres registres de ressalt, hauríeu de poder provar-hi el corral.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Aquestes banderes signifiquen bàsicament el següent.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Després d'iniciar el corral, un cop Waiting for new dataaparegui, podeu sortir de l'aplicació prement ctrl + cara per comprovar la vostra base de dades MySQL tornant a iniciar sessió al servidor MySQL i seleccionar-ho tot de la eventtaula de la vostra snortbase de dades.

mysql -u snort -p snort
select count(*) from event;

Mentre el recompte sigui superior a 0, tot ha funcionat correctament!

Tanmateix, si el recompte és 0, probablement feu ping al vostre sistema des d'un sistema que coincideixi amb una IP de la llista blanca. Si aquest és el cas, proveu de fer ping al vostre sistema des de fora de la vostra xarxa i assegureu-vos que estigui exposat al món exterior.

Enhorabona, ara teniu una manera de llegir i fer un seguiment de les vostres intrusions detectades.