Nastavte Barnyard 2 so Snortom

Barnyard2 je spôsob, ako uložiť a spracovať binárne výstupy zo Snortu do databázy MySQL.

Než začneme

Upozorňujeme, že ak nemáte na svojom systéme nainštalovaný snort, máme príručku na inštaláciu snortu na systémy debian . Aby tento systém fungoval, musíte mať nainštalovaný Snort.

Aktualizácia, inovácia a reštart

Predtým, ako sa skutočne dostaneme k zdrojom Snort (S), musíme sa uistiť, že náš systém je aktuálny. Môžeme to urobiť zadaním príkazov nižšie.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Predinštalačná konfigurácia

Ak nemáte nainštalovaný MySQL, môžete ho nainštalovať pomocou nasledujúceho príkazu,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Ak nemáte nainštalovaný a nakonfigurovaný sieťový systém detekcie prieniku (IDS) Snort, pozrite si dokumentáciu k inštalácii

Založenie Barnyard2

Aby sme mohli nainštalovať Barnyard, musíme získať zdroj zo stránky github Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Teraz, keď máme zdroj pre maštaľ, musíme ju do autoreconfmaštale.

sudo autoreconf -fvi -I ./m4

Aktualizujte odkazy na systémové knižnice

Po dokončení musíte vytvoriť symbolický odkaz na knižnicu dumbnet ako dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Pretože sme v podstate vytvorili novú systémovú knižnicu, musíme aktualizovať vyrovnávaciu pamäť systémovej knižnice. To je možné vykonať zadaním nasledujúceho príkazu:

sudo ldconfig

Konfigurácia Barnyard2 pre MySQL

Táto časť je dôležitá, pretože závisí od toho, či je váš systém 64-bitový alebo 32-bitový.

Ak si nie ste istí, či je váš systém 64-bitový alebo 32-bitový, môžete to dosiahnuť pomocou uname -malebo arch.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Takže konfigurácia by mala vyzerať ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopírovanie konfigurácií

Aby sme mohli barnyard správne nastaviť a nechať ho fungovať s naším systémom, musíme skopírovať naše konfiguračné súbory. Upozorňujeme tiež, že kým som to testoval, musel som vytvoriť adresár denníka pre barnyard2, inak by spustenie zlyhalo.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Vytvorenie databázy

Teraz, keď je naša inštancia na dvore väčšinou nastavená, musíme vytvoriť a priradiť databázu k nášmu nastaveniu.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Konfigurácia barnyardu na použitie s MySQL

V prípade, že ste náhodou nezmenili heslo vo vyššie uvedenom príkaze, môžete heslo obnoviť opätovným zadaním príkazu mysql a zadaním

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Úplne na koniec /etc/snort/barnyard2.confsúboru pridajte nasledujúce a upravte heslo podľa toho, čo ste nastavili vyššie.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Z bezpečnostných dôvodov musíme uzamknúť náš súbor barnyard.conf, pretože obsahuje heslo k vašej databáze ako čistý text.

sudo chmod o-r /etc/snort/barnyard2.conf

Testovanie

Snort môžete otestovať tak, že ho spustíte v režime výstrahy pomocou vášho konfiguračného súboru.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Keď je snort spustený, otvorte iný terminál a pingnite na adresu tohto systému, mali by ste vidieť správy na vašom hlavnom termináli.

Teraz, keď máte nejaké údaje vo svojich protokoloch snort, by ste mali byť schopní otestovať barnyard proti nim.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Tieto príznaky v podstate znamenajú nasledovné.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Po spustení barnyard, keď sa Waiting for new dataobjaví, môžete ukončiť aplikáciu stlačením ctrl + cteraz, aby ste skontrolovali svoju databázu MySQL prihlásením sa späť na server MySQL a výberom všetkých z eventtabuľky v snortdatabáze.

mysql -u snort -p snort
select count(*) from event;

Pokiaľ je počet väčší ako 0, všetko fungovalo správne!

Ak je však počet 0, pravdepodobne buď testujete váš systém zo systému, ktorý sa zhoduje s adresou IP na bielej listine. Ak je to tak, skúste ping na váš systém z vonkajšej strany vašej siete a uistite sa, že je vystavený vonkajšiemu svetu.

Blahoželáme, teraz máte spôsob, ako čítať a sledovať rozpoznané prieniky.