Oppsett Barnyard 2 Med Snort

Barnyard2 er en måte å lagre og behandle binære utdata fra Snort til en MySQL-database.

Før vi begynner

Vær oppmerksom på at hvis du ikke har snort installert på systemet ditt, har vi en veiledning for installasjon av snort på debian-systemer . Du må ha installert snort for at dette systemet skal fungere.

Oppdater, oppgrader og start på nytt

Før vi faktisk får tak i Snort (S)-kildene, må vi sørge for at systemet vårt er oppdatert. Vi kan gjøre dette ved å utstede kommandoene nedenfor.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Forhåndsinstallert konfigurasjon

Hvis du ikke har MySQL installert, kan du installere det med følgende kommando,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Hvis du ikke har nettverksintrusionsdeteksjonssystemet (IDS) Snort installert og konfigurert, vennligst se installasjonsdokumentasjonen for dokumentasjonen

Sette opp Barnyard2

For å installere Barnyard må vi hente kilden fra Barnyard2s github-side .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Nå som vi har kilden til hage må vi gå i autoreconfgård.

sudo autoreconf -fvi -I ./m4

Oppdater systembibliotekreferanser

Når det er ferdig må du lage en symbolkobling til dumbnet-biblioteket som dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Fordi vi egentlig laget et nytt systembibliotek, må vi oppdatere systemets bibliotekbuffer. Dette kan gjøres ved å gi følgende kommando:

sudo ldconfig

Konfigurere Barnyard2 for MySQL

Denne delen er viktig fordi den avhenger av om systemet ditt er et 64-bitssystem eller et 32-bitssystem.

Hvis du er usikker på om systemet ditt er 64-bit eller 32-bit, kan du enten bruke uname -meller for archå oppnå dette.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Så den konfigurasjonen skal se ut ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopiering av konfigurasjoner

For å sette opp barnyard riktig og la det fungere med systemet vårt, må vi kopiere over konfigurasjonsfilene våre. Vær også oppmerksom på at mens jeg testet dette, måtte jeg opprette loggkatalogen for barnyard2, ellers ville det mislykkes å kjøre den.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Opprette databasen

Nå som vår barnyard-forekomst for det meste er satt opp, må vi opprette og knytte en database til oppsettet vårt.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Konfigurere barnyard for bruk med MySQL

I tilfelle du ikke tilfeldigvis endret passordet i kommandoen ovenfor, kan du tilbakestille passordet ved å skrive inn mysql-kommandoen på nytt og skrive inn

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Helt nederst i /etc/snort/barnyard2.conffilen legger du til følgende og rediger passordet til det du angir ovenfor.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Av sikkerhetshensyn må vi låse barnyard.conf-filen vår fordi den inneholder databasepassordet ditt i klartekst.

sudo chmod o-r /etc/snort/barnyard2.conf

Testing

Du kan teste snorting ved å la den kjøre i varselmodus ved å bruke konfigurasjonsfilen.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Når snort kjører, åpner du en annen terminal og pinger systemets adresse. Du bør kunne se meldingene på hovedterminalen din.

Nå som du har noen data i snørreloggene dine, bør du kunne teste gårdsplassen mot den.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Disse flaggene betyr i utgangspunktet følgende.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Etter å ha startet barnyard, en gang Waiting for new datavises, kan du avslutte programmet ved å trykke ctrl + cnå for å sjekke MySQL-databasen ved å logge tilbake på MySQL-serveren og velge alle fra eventtabellen i snortdatabasen.

mysql -u snort -p snort
select count(*) from event;

Så lenge antallet er mer enn 0, fungerte alt som det skal!

Men hvis antallet ER 0, pinger du sannsynligvis systemet ditt fra et system som samsvarer med en hvitelistet ip. Hvis det er tilfelle, prøv å pinge systemet fra utsiden av nettverket og for å sikre at det er eksponert for omverdenen.

Gratulerer, du har nå en måte å lese og holde styr på dine oppdagede inntrengninger.