Nastavení Barnyard 2 s Snort

Barnyard2 je způsob, jak uložit a zpracovat binární výstupy ze Snortu do databáze MySQL.

Než začneme

Vezměte prosím na vědomí, že pokud nemáte na svém systému nainstalovaný snort, máme průvodce instalací snortu na systémy debian . Aby tento systém fungoval, musíte mít nainstalován Snort.

Aktualizujte, upgradujte a restartujte

Než se skutečně dostaneme ke zdrojům Snort (S), musíme se ujistit, že náš systém je aktuální. Můžeme to udělat zadáním příkazů níže.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Konfigurace před instalací

Pokud nemáte nainstalovanou MySQL, můžete ji nainstalovat pomocí následujícího příkazu,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Pokud nemáte nainstalovaný a nakonfigurovaný systém detekce narušení sítě (IDS) Snort, prostudujte si dokumentaci k instalaci

Nastavení Barnyard2

Abychom mohli nainstalovat Barnyard, musíme získat zdroj ze stránky github Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Nyní, když máme zdroj pro chlév, musíme ho autoreconfhájit.

sudo autoreconf -fvi -I ./m4

Aktualizujte odkazy na systémové knihovny

Jakmile to skončí, musíte vytvořit symbolický odkaz na knihovnu dumbnet jako dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Protože jsme v podstatě vytvořili novou systémovou knihovnu, musíme aktualizovat mezipaměť knihovny systému. To lze provést zadáním následujícího příkazu:

sudo ldconfig

Konfigurace Barnyard2 pro MySQL

Tato část je důležitá, protože závisí na tom, zda je váš systém 64bitový nebo 32bitový systém.

Pokud si nejste jisti, zda je váš systém 64bitový nebo 32bitový, můžete toho dosáhnout pomocí uname -mnebo arch.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Takže konfigurace by měla vypadat ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopírování konfigurací

Abychom mohli barnyard správně nastavit a nechat jej pracovat s naším systémem, musíme zkopírovat naše konfigurační soubory. Upozorňujeme také, že když jsem to testoval, musel jsem vytvořit adresář protokolu pro barnyard2, jinak by jeho spuštění selhalo.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Vytvoření databáze

Nyní, když je naše instance stáje z větší části nastavena, musíme vytvořit a přidružit databázi k našemu nastavení.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Konfigurace barnyard pro použití s ​​MySQL

V případě, že jste náhodou nezměnili heslo ve výše uvedeném příkazu, můžete heslo resetovat opětovným zadáním příkazu mysql a zadáním

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Na samém konci /etc/snort/barnyard2.confsouboru přidejte následující a upravte heslo podle toho, co jste nastavili výše.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Z bezpečnostních důvodů musíme zamknout náš soubor barnyard.conf, protože obsahuje heslo k vaší databázi v čistém textu.

sudo chmod o-r /etc/snort/barnyard2.conf

Testování

Snort můžete otestovat tak, že jej spustíte v režimu výstrahy pomocí konfiguračního souboru.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Jakmile je snort spuštěn, otevřete další terminál a odešlete příkaz ping na adresu tohoto systému, měli byste být schopni vidět zprávy na vašem hlavním terminálu.

Nyní, když máte nějaká data ve svých snort logech, měli byste být schopni otestovat barnyard proti nim.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Tyto příznaky v podstatě znamenají následující.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Po spuštění barnyard, jakmile se Waiting for new dataobjeví, můžete ukončit aplikaci stisknutím tlačítka ctrl + cnow a zkontrolovat databázi MySQL přihlášením zpět na server MySQL a výběrem všech z eventtabulky v snortdatabázi.

mysql -u snort -p snort
select count(*) from event;

Dokud je počet větší než 0, vše fungovalo správně!

Pokud je však počet 0, pravděpodobně buď pingujete na svůj systém ze systému, který odpovídá IP adrese na seznamu povolených. Pokud je to váš případ, zkuste pingnout váš systém zvenčí vaší sítě a ujistěte se, že je vystaven vnějšímu světu.

Gratulujeme, nyní máte možnost číst a sledovat detekovaná narušení.