Сетуп Барниард 2 Витх Снорт

Барниард2 је начин чувања и обраде бинарних излаза из Снорт-а у МиСКЛ базу података.

Пре него што почнемо

Имајте на уму да ако немате инсталиран снорт на вашем систему, имамо водич за инсталирање снорт-а на дебиан системима . Морате имати инсталиран снорт да би овај систем радио.

Ажурирајте, надоградите и поново покрените

Пре него што заиста дођемо до извора Снорт (С), морамо да се уверимо да је наш систем ажуриран. То можемо да урадимо издавањем наредби испод.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Конфигурација пре инсталације

Ако немате инсталиран МиСКЛ, можете га инсталирати следећом командом,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Ако немате инсталиран и конфигурисан систем за откривање упада у мрежу (ИДС) Снорт, погледајте документацију за инсталацијску документацију

Постављање Барниард2

Да бисмо инсталирали Барниард, морамо да узмемо извор са Барниард2-ове гитхуб странице .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Сада када имамо извор за барниард, морамо да autoreconfгајимо.

sudo autoreconf -fvi -I ./m4

Ажурирајте референце системске библиотеке

Када се то заврши, морате направити симболичку везу до думбнет библиотеке као днет.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Пошто смо у суштини направили нову системску библиотеку, морамо да ажурирамо кеш системске библиотеке. Ово се може урадити издавањем следеће команде:

sudo ldconfig

Конфигурисање Барниард2 за МиСКЛ

Овај део је важан јер зависи од тога да ли је ваш систем 64-битни или 32-битни систем.

Ако нисте сигурни да ли је ваш систем 64-битни или 32-битни, можете или користити uname -mили archда то постигнете.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Тако да та конфигурација треба да изгледа ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Копирање конфигурација

Да бисмо правилно поставили барниард и пустили га да ради са нашим системом, морамо да копирамо наше конфигурационе датотеке. Такође, имајте на уму да сам, док сам ово тестирао, морао да креирам директоријум дневника за барниард2, иначе његово покретање не би успело.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Креирање базе података

Сада када је наш барниард инстанца углавном постављена, морамо да креирамо и повежемо базу података са нашим подешавањем.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Конфигурисање дворишта за коришћење са МиСКЛ

У случају да нисте променили лозинку у горњој команди, можете је ресетовати поновним уносом мискл команде и уносом

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

На самом дну ваше /etc/snort/barnyard2.confдатотеке додајте следеће и уредите лозинку на оно што сте поставили изнад.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Из безбедносних разлога, морамо да закључамо нашу датотеку барниард.цонф јер садржи лозинку ваше базе података у чистом тексту.

sudo chmod o-r /etc/snort/barnyard2.conf

Тестирање

Можете тестирати снорт тако што ћете га покренути у режиму упозорења користећи вашу конфигурациону датотеку.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Када се снорт покрене, отворите други терминал и пингујте адресу тог система, требало би да можете да видите поруке на свом главном терминалу.

Сада када имате неке податке у својим евиденцијама шмркања, требало би да можете да тестирате барниард у односу на њих.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Ове заставе у основи значе следеће.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Након што покренете барниард, када Waiting for new dataсе појави, можете затворити апликацију притиском на ctrl + cсада да бисте проверили своју МиСКЛ базу података тако што ћете се поново пријавити на МиСКЛ сервер и изабрати све из eventтабеле у вашој snortбази података.

mysql -u snort -p snort
select count(*) from event;

Све док је број већи од 0 све је функционисало како треба!

Међутим, ако је број 0, вероватно или пингујете свој систем са система који одговара ИП-у са беле листе. Ако је то случај, покушајте да пингујете свој систем ван мреже и да се уверите да је изложен спољашњем свету.

Честитамо, сада имате начин да читате и пратите откривене упаде.