Asenna Barnyard 2 Snortilla

Barnyard2 on tapa tallentaa ja käsitellä Snortin binääritulokset MySQL-tietokantaan.

Ennen kuin aloitamme

Huomaa, että jos järjestelmääsi ei ole asennettu snortia, meillä on opas snortin asentamiseen debian-järjestelmiin . Sinulla on oltava snort asennettuna, jotta tämä järjestelmä toimii.

Päivitä, päivitä ja käynnistä uudelleen

Ennen kuin pääsemme käsiimme Snort (S) -lähteisiin, meidän on varmistettava, että järjestelmämme on ajan tasalla. Voimme tehdä tämän antamalla alla olevat komennot.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Esiasennuskokoonpano

Jos sinulla ei ole MySQL:ää asennettuna, voit asentaa sen seuraavalla komennolla:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Jos sinulla ei ole verkon tunkeutumisen havainnointijärjestelmää (IDS) Snort asennettuna ja määritettynä, katso dokumentaation asennusdokumentaatio

Barnyardin määrittäminen2

Barnyardin asentamiseksi meidän täytyy napata lähde Barnyard2:n github-sivulta .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Nyt kun meillä on lähde barnyardille, meidän on ryhdyttävä autoreconfbarnyardiin.

sudo autoreconf -fvi -I ./m4

Päivitä järjestelmäkirjaston viittaukset

Kun tämä on valmis, sinun on tehtävä symlink dumbnet-kirjastoon dnet-muodossa.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Koska teimme käytännössä uuden järjestelmäkirjaston, joudumme päivittämään järjestelmän kirjaston välimuistin. Tämä voidaan tehdä antamalla seuraava komento:

sudo ldconfig

Barnyard2:n määrittäminen MySQL:lle

Tämä osa on tärkeä, koska se riippuu siitä, onko järjestelmäsi 64-bittinen vai 32-bittinen.

Jos olet epävarma siitä, onko järjestelmäsi 64-bittinen vai 32-bittinen, voit joko käyttää uname -mtai archsaavuttaaksesi tämän.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Joten kokoonpanon pitäisi näyttää tältä ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopioidaan määrityksiä

Jotta Barnyard voidaan määrittää oikein ja antaa sen toimia järjestelmämme kanssa, meidän on kopioitava määritystiedostomme. Huomaa myös, että kun testasin tätä, minun piti luoda lokihakemisto barnyard2:lle, muuten sen suorittaminen epäonnistuisi.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Tietokannan luominen

Nyt kun barnyard-instanssimme on pääosin perustettu, meidän on luotava ja liitettävä tietokanta asennukseemme.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Barnyardin määrittäminen käytettäväksi MySQL:n kanssa

Jos et sattunut vaihtamaan salasanaa yllä olevassa komennossa, voit nollata salasanan kirjoittamalla mysql-komennon uudelleen ja kirjoittamalla

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

/etc/snort/barnyard2.confLisää tiedostosi alareunaan seuraava ja muokkaa yllä määrittämääsi salasanaa.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Turvallisuussyistä meidän on lukittava barnyard.conf-tiedostomme, koska se sisältää tietokannan salasanasi selkeänä tekstinä.

sudo chmod o-r /etc/snort/barnyard2.conf

Testaus

Voit testata kuorsausta suorittamalla sen hälytystilassa asetustiedostosi avulla.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Kun snort on käynnissä, avaa toinen pääte ja ping-lähetä kyseisen järjestelmän osoite, sinun pitäisi pystyä näkemään viestit pääpäätteessäsi.

Nyt kun sinulla on joitakin tietoja snort lokeissasi, sinun pitäisi pystyä testaamaan barnyardia sitä vastaan.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Nämä liput tarkoittavat periaatteessa seuraavaa.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Kun olet käynnistänyt Barnyardin, Waiting for new datavoit sulkea sovelluksen painamalla ctrl + cnyt tarkistaaksesi MySQL-tietokantasi kirjautumalla takaisin MySQL-palvelimeen ja valitsemalla kaikki tietokantaasi eventtaulukosta snort.

mysql -u snort -p snort
select count(*) from event;

Niin kauan kuin luku on yli 0, kaikki toimi oikein!

Jos luku on kuitenkin 0, olet todennäköisesti joko pingatamassa järjestelmääsi järjestelmästä, joka vastaa sallittujen luettelossa olevaa IP-osoitetta. Jos näin on, yritä pingata järjestelmääsi verkon ulkopuolelta ja varmistaa, että se on alttiina ulkomaailmalle.

Onnittelut, sinulla on nyt tapa lukea havaitsemasi tunkeutumiset ja seurata niitä.