Uppsetning Barnyard 2 Með Snort

Barnyard2 er leið til að geyma og vinna úr tvíundarúttakinu frá Snort í MySQL gagnagrunn.

Áður en við byrjum

Vinsamlegast athugaðu að ef þú ert ekki með snort uppsett á kerfinu þínu, höfum við leiðbeiningar um uppsetningu á snort á debian kerfum . Þú verður að hafa hrotur uppsett til að þetta kerfi virki.

Uppfærðu, uppfærðu og endurræstu

Áður en við komumst í raun inn í Snort (S) heimildirnar þurfum við að ganga úr skugga um að kerfið okkar sé uppfært. Við getum gert þetta með því að gefa út skipanirnar hér að neðan.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Foruppsetning stillingar

Ef þú ert ekki með MySQL uppsett geturðu sett það upp með eftirfarandi skipun,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Ef þú ert ekki með netinnbrotsskynjunarkerfið (IDS) Snort uppsett og stillt, vinsamlegast skoðaðu uppsetningarskjölin

Uppsetning Barnyard2

Til þess að setja upp Barnyard þurfum við að grípa upprunann af github síðu Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Nú þegar við höfum heimildina fyrir barnyard þurfum við að autoreconfbarnyard.

sudo autoreconf -fvi -I ./m4

Uppfærðu tilvísanir í kerfissafn

Þegar því er lokið þarf að búa til tákntengil í dumbnet bókasafnið sem dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Vegna þess að við gerðum í rauninni nýtt kerfissafn verðum við að uppfæra skyndiminni bókasafns kerfisins. Þetta er hægt að gera með því að gefa út eftirfarandi skipun:

sudo ldconfig

Stillir Barnyard2 fyrir MySQL

Þessi hluti er mikilvægur vegna þess að hann fer eftir því hvort kerfið þitt er 64 bita eða 32 bita kerfi.

Ef þú ert ekki viss um hvort kerfið þitt sé 64 bita eða 32 bita, geturðu annað hvort notað uname -meða archtil að ná þessu.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Þannig að uppsetningin ætti að líta út ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Afrita stillingar

Til þess að setja barnyard rétt upp og láta það virka með kerfinu okkar þurfum við að afrita yfir stillingarskrárnar okkar. Athugaðu líka að á meðan ég prófaði þetta þurfti ég að búa til annálaskrána fyrir barnyard2, annars myndi keyra það mistakast.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Að búa til gagnagrunninn

Nú þegar barnyard tilvikið okkar hefur að mestu verið sett upp þurfum við að búa til og tengja gagnagrunn við uppsetninguna okkar.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Stilla barnyard til notkunar með MySQL

Ef þú breytir ekki lykilorðinu í ofangreindri skipun geturðu endurstillt lykilorðið með því að slá inn mysql skipunina aftur og slá inn

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Neðst á /etc/snort/barnyard2.confskránni þinni skaltu bæta við eftirfarandi og breyta lykilorðinu í það sem þú stillir hér að ofan.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Í öryggisskyni þurfum við að læsa barnyard.conf skránni okkar vegna þess að hún inniheldur lykilorð gagnagrunnsins í skýrum texta.

sudo chmod o-r /etc/snort/barnyard2.conf

Prófanir

Þú getur prófað hrjóta með því að láta það keyra í viðvörunarstillingu með því að nota stillingarskrána þína.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Þegar snort er í gangi, opnaðu aðra flugstöð og smelltu heimilisfangi þess kerfis, þú ættir að geta séð skilaboðin á aðalstöðinni þinni.

Nú þegar þú ert með smá gögn í hrjótaskránum þínum ættirðu að geta prófað barnyard á móti þeim.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Þessir fánar þýða í grundvallaratriðum eftirfarandi.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Eftir að barnyard hefur byrjað, Waiting for new databirtist einu sinni geturðu hætt í forritinu með því að ýta á ctrl + cnúna til að athuga MySQL gagnagrunninn þinn með því að skrá þig aftur inn á MySQL þjóninn og velja allt úr eventtöflunni í snortgagnagrunninum þínum.

mysql -u snort -p snort
select count(*) from event;

Svo lengi sem talningin er meira en 0 virkaði allt rétt!

Hins vegar, ef talningin er 0, ertu líklega annað hvort að pinga kerfið þitt úr kerfi sem passar við hvítlista ip. Ef það er raunin, reyndu að smella kerfinu þínu utan frá netkerfinu þínu og ganga úr skugga um að það sé útsett fyrir umheiminum.

Til hamingju, þú hefur nú leið til að lesa og fylgjast með afbrotum þínum.