Ρύθμιση Barnyard 2 With Snort

Το Barnyard2 είναι ένας τρόπος αποθήκευσης και επεξεργασίας των δυαδικών εξόδων από το Snort σε μια βάση δεδομένων MySQL.

Πριν ξεκινήσουμε

Λάβετε υπόψη ότι εάν δεν έχετε εγκαταστήσει το snort στο σύστημά σας, έχουμε έναν οδηγό για την εγκατάσταση του snort σε συστήματα debian . Πρέπει να έχετε εγκαταστήσει το snort για να λειτουργήσει αυτό το σύστημα.

Ενημέρωση, αναβάθμιση και επανεκκίνηση

Πριν πάρουμε πραγματικά τα χέρια μας στις πηγές Snort (S), πρέπει να βεβαιωθούμε ότι το σύστημά μας είναι ενημερωμένο. Μπορούμε να το κάνουμε αυτό εκδίδοντας τις παρακάτω εντολές.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Προεγκατάσταση διαμόρφωσης

Εάν δεν έχετε εγκαταστήσει τη MySQL, μπορείτε να την εγκαταστήσετε με την ακόλουθη εντολή:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Εάν δεν έχετε εγκαταστήσει και διαμορφώσει το σύστημα εντοπισμού εισβολών δικτύου (IDS) Snort, συμβουλευτείτε την τεκμηρίωση εγκατάστασης

Ρύθμιση του Barnyard2

Για να εγκαταστήσουμε το Barnyard πρέπει να πάρουμε την πηγή από τη σελίδα github του Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Τώρα που έχουμε την πηγή για το barnyard πρέπει να το autoreconfbarnyard.

sudo autoreconf -fvi -I ./m4

Ενημερώστε τις αναφορές βιβλιοθήκης συστήματος

Μόλις τελειώσετε, πρέπει να δημιουργήσετε μια συμβολική σύνδεση στη βιβλιοθήκη dumbnet ως dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Επειδή ουσιαστικά φτιάξαμε μια νέα βιβλιοθήκη συστήματος, πρέπει να ενημερώσουμε τη μνήμη cache της βιβλιοθήκης του συστήματος. Αυτό μπορεί να γίνει με την έκδοση της ακόλουθης εντολής:

sudo ldconfig

Διαμόρφωση Barnyard2 για MySQL

Αυτό το μέρος είναι σημαντικό γιατί εξαρτάται από το αν το σύστημά σας είναι σύστημα 64 bit ή σύστημα 32 bit.

Εάν δεν είστε σίγουροι για το εάν το σύστημά σας είναι 64 bit ή 32 bit, μπορείτε είτε να το χρησιμοποιήσετε uname -mείτε archνα το πετύχετε.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Έτσι αυτή η διαμόρφωση θα πρέπει να μοιάζει ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Αντιγραφή διαμορφώσεων

Για να ρυθμίσουμε σωστά το barnyard και να το αφήσουμε να λειτουργήσει με το σύστημά μας, πρέπει να αντιγράψουμε τα αρχεία διαμόρφωσής μας. Επίσης, σημειώστε, ενώ το δοκίμασα, έπρεπε να δημιουργήσω τον κατάλογο καταγραφής για το barnyard2, διαφορετικά η εκτέλεσή του θα αποτύγχανε.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Δημιουργία της βάσης δεδομένων

Τώρα που το στιγμιότυπο του barnyard έχει ρυθμιστεί ως επί το πλείστον, πρέπει να δημιουργήσουμε και να συσχετίσουμε μια βάση δεδομένων με τις ρυθμίσεις μας.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Διαμόρφωση barnyard για χρήση με MySQL

Σε περίπτωση που δεν έτυχε να αλλάξετε τον κωδικό πρόσβασης στην παραπάνω εντολή, μπορείτε να επαναφέρετε τον κωδικό πρόσβασης εισάγοντας ξανά την εντολή mysql και εισάγοντας

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Στο κάτω μέρος του /etc/snort/barnyard2.confαρχείου σας προσθέστε τα παρακάτω και επεξεργαστείτε τον κωδικό πρόσβασης σε αυτό που ορίσατε παραπάνω.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Για λόγους ασφαλείας, πρέπει να κλειδώσουμε το αρχείο barnyard.conf επειδή περιέχει τον κωδικό πρόσβασης της βάσης δεδομένων σας σε καθαρό κείμενο.

sudo chmod o-r /etc/snort/barnyard2.conf

Δοκιμές

Μπορείτε να δοκιμάσετε το snort εκτελώντας το σε λειτουργία ειδοποίησης χρησιμοποιώντας το αρχείο διαμόρφωσης.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Μόλις εκτελεστεί το snort, ανοίξτε ένα άλλο τερματικό και κάντε ping στη διεύθυνση αυτού του συστήματος, θα μπορείτε να δείτε τα μηνύματα στο κύριο τερματικό σας.

Τώρα που έχετε κάποια δεδομένα στα αρχεία καταγραφής ροχαλητού σας, θα πρέπει να μπορείτε να δοκιμάσετε το barnyard σε σχέση με αυτό.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Αυτές οι σημαίες βασικά σημαίνουν το εξής.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Μετά την εκκίνηση του barnyard, μόλις Waiting for new dataεμφανιστεί, μπορείτε να κλείσετε την εφαρμογή πατώντας ctrl + cτώρα για να ελέγξετε τη βάση δεδομένων MySQL, συνδέοντας ξανά στον διακομιστή MySQL και επιλέγοντας όλα από τον eventπίνακα στη snortβάση δεδομένων σας .

mysql -u snort -p snort
select count(*) from event;

Όσο το μέτρημα είναι πάνω από το 0, όλα δούλεψαν σωστά!

Ωστόσο, εάν το πλήθος είναι 0, πιθανότατα είτε κάνετε ping στο σύστημά σας από ένα σύστημα που ταιριάζει με μια διεύθυνση IP στη λίστα επιτρεπόμενων. Εάν συμβαίνει αυτό, δοκιμάστε να κάνετε ping στο σύστημά σας έξω από το δίκτυό σας και να βεβαιωθείτε ότι είναι εκτεθειμένο στον έξω κόσμο.

Συγχαρητήρια, τώρα έχετε έναν τρόπο να διαβάζετε και να παρακολουθείτε τις εισβολές που εντοπίσατε.