Налаштуйте Barnyard 2 за допомогою Snort

Barnyard2 — це спосіб зберігання та обробки двійкових вихідних даних Snort в базу даних MySQL.

Перш ніж ми почнемо

Зверніть увагу, що якщо у вашій системі не встановлено snort, у нас є посібник із встановлення snort у системах debian . Щоб ця система працювала, у вас повинен бути встановлений snort.

Оновлення, оновлення та перезавантаження

Перш ніж ми фактично потрапимо до джерел Snort (S), нам потрібно переконатися, що наша система оновлена. Ми можемо зробити це, виконавши наведені нижче команди.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Конфігурація перед встановленням

Якщо у вас не встановлено MySQL, ви можете встановити його за допомогою наступної команди:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Якщо у вас не встановлена ​​та налаштована система виявлення вторгнення в мережу (IDS) Snort, зверніться до документації, документації з встановлення

Налаштування Barnyard2

Щоб встановити Barnyard, нам потрібно отримати джерело зі сторінки Barnyard2 на github .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Тепер, коли у нас є джерело для barnyard, нам потрібно autoreconfbarnyard.

sudo autoreconf -fvi -I ./m4

Оновити посилання на системну бібліотеку

Коли це буде завершено, необхідно створити символічне посилання на бібліотеку dumbnet як dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Оскільки ми, по суті, створили нову системну бібліотеку, нам потрібно оновити кеш бібліотеки системи. Це можна зробити, виконавши таку команду:

sudo ldconfig

Налаштування Barnyard2 для MySQL

Ця частина важлива, оскільки залежить від того, чи є ваша система 64-розрядною чи 32-розрядною.

Якщо ви не впевнені, чи є ваша система 64-розрядною чи 32-розрядною, ви можете використовувати uname -mабо archдля досягнення цього.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Тож така конфігурація має виглядати ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Копіювання конфігурацій

Щоб правильно налаштувати barnyard і дозволити йому працювати з нашою системою, нам потрібно скопіювати наші файли конфігурації. Також зверніть увагу, що поки я тестував це, мені довелося створити каталог журналів для barnyard2, інакше його запуск не вийде.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Створення бази даних

Тепер, коли наш екземпляр barnyard в основному налаштований, нам потрібно створити та пов’язати базу даних з нашими налаштуваннями.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Налаштування barnyard для використання з MySQL

Якщо ви не змінили пароль у наведеній вище команді, ви можете скинути пароль, повторно ввівши команду mysql та ввівши

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

У самому низу вашого /etc/snort/barnyard2.confфайлу додайте наступне та відредагуйте пароль до того, що ви встановили вище.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

З метою безпеки нам потрібно заблокувати наш файл barnyard.conf, оскільки він містить пароль вашої бази даних у відкритому тексті.

sudo chmod o-r /etc/snort/barnyard2.conf

Тестування

Ви можете перевірити snort, запустивши його в режимі сповіщення за допомогою файлу конфігурації.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Після запуску snort відкрийте інший термінал і виконайте ping на адресу цієї системи, і ви зможете побачити повідомлення на своєму головному терміналі.

Тепер, коли у вас є деякі дані у ваших журналах snort, ви зможете протестувати barnyard щодо них.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Ці прапори в основному означають наступне.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Після запуску barnyard Waiting for new dataви можете закрити програму, натиснувши ctrl + cзараз, щоб перевірити свою базу даних MySQL, увійшовши назад на сервер MySQL і вибравши все з eventтаблиці у вашій snortбазі даних.

mysql -u snort -p snort
select count(*) from event;

Поки кількість більше 0, все працювало належним чином!

Однак, якщо кількість рівна 0, ви, ймовірно, виконуєте ping для своєї системи із системи, яка відповідає IP-адресу з білого списку. Якщо це так, спробуйте перевірити свою систему за межами мережі та переконатися, що вона відкрита для зовнішнього світу.

Вітаємо, тепер у вас є спосіб читати та відстежувати виявлені вторгнення.