إعداد Barnyard 2 مع Snort

• قبل أن نبدأ
• التحديث والترقية وإعادة التشغيل
• التكوين قبل التثبيت
• إعداد Barnyard2
• اختبارات

Barnyard2 هو طريقة لتخزين ومعالجة المخرجات الثنائية من Snort إلى قاعدة بيانات MySQL.

قبل أن نبدأ

يرجى ملاحظة أنه إذا لم يكن لديك snort مثبتًا على نظامك ، فلدينا دليل لتثبيت snort على أنظمة دبيان . يجب أن يكون لديك snort مثبتًا حتى يعمل هذا النظام.

التحديث والترقية وإعادة التشغيل

قبل أن نضع أيدينا بالفعل في مصادر Snort (S) ، نحتاج إلى التأكد من تحديث نظامنا. يمكننا القيام بذلك عن طريق إصدار الأوامر أدناه.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

التكوين قبل التثبيت

إذا لم يكن لديك MySQL مثبتًا يمكنك تثبيته باستخدام الأمر التالي ،

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

إذا لم يكن لديك نظام كشف التسلل (IDS) Snort مثبتًا ومهيئًا ، فيرجى الرجوع إلى وثائق تثبيت الوثائق

إعداد Barnyard2

لتثبيت Barnyard ، نحتاج إلى الحصول على المصدر من صفحة github الخاصة بـ Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

الآن بعد أن أصبح لدينا مصدر الفناء ، نحتاج إلى autoreconfالفناء.

sudo autoreconf -fvi -I ./m4

تحديث مراجع مكتبة النظام

بمجرد الانتهاء من ذلك ، يجب إنشاء ارتباط رمزي إلى مكتبة dumbnet كـ dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

نظرًا لأننا أنشأنا بشكل أساسي مكتبة نظام جديدة ، يتعين علينا تحديث ذاكرة التخزين المؤقت لمكتبة النظام. يمكن القيام بذلك عن طريق إصدار الأمر التالي:

sudo ldconfig

تكوين Barnyard2 ل MySQL

هذا الجزء مهم لأنه يعتمد على ما إذا كان نظامك هو نظام 64 بت أو نظام 32 بت.

إذا لم تكن متأكدًا مما إذا كان نظامك هو 64 بت أو 32 بت ، فيمكنك إما استخدامه uname -mأو archتحقيق ذلك.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

لذلك يجب أن يبدو هذا التكوين ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

نسخ التكوينات

من أجل إعداد الفناء بشكل صحيح والسماح له بالعمل مع نظامنا ، نحتاج إلى نسخ ملفات التكوين الخاصة بنا. أيضًا ، يرجى ملاحظة أنه بينما قمت باختبار هذا ، كان علي إنشاء دليل سجل لـ barnyard2 وإلا فإنه سيفشل.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

إنشاء قاعدة البيانات

الآن بعد أن تم إنشاء مثيل الفناء الخاص بنا في الغالب ، نحتاج إلى إنشاء قاعدة بيانات وربطها بإعدادنا.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

تكوين الفناء للاستخدام مع MySQL

في حالة عدم حدوث تغيير كلمة المرور في الأمر أعلاه ، يمكنك إعادة تعيين كلمة المرور عن طريق إعادة إدخال الأمر mysql وإدخال

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

في الجزء السفلي من ملفك ، /etc/snort/barnyard2.confأضف ما يلي وعدّل كلمة المرور لما قمت بتعيينه أعلاه.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

لأغراض أمنية ، نحتاج إلى قفل ملف barnyard.conf لأنه يحتوي على كلمة مرور قاعدة البيانات الخاصة بك في نص واضح.

sudo chmod o-r /etc/snort/barnyard2.conf

اختبارات

يمكنك اختبار snort من خلال تشغيله في وضع التنبيه باستخدام ملف التكوين الخاص بك.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

بمجرد تشغيل snort ، افتح محطة طرفية أخرى وقم بتنفيذ الأمر ping على عنوان هذا النظام ، يجب أن تكون قادرًا على رؤية الرسائل على جهازك الرئيسي.

الآن بعد أن حصلت على بعض البيانات في سجلات snort الخاصة بك ، يجب أن تكون قادرًا على اختبار الفناء مقابلها.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

هذه الأعلام تعني في الأساس ما يلي.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

بعد بدء الفناء ، Waiting for new dataيظهر مرة واحدة أنه يمكنك إنهاء التطبيق بالضغط ctrl + cالآن للتحقق من قاعدة بيانات MySQL الخاصة بك عن طريق تسجيل الدخول مرة أخرى إلى خادم MySQL وتحديد الكل من eventالجدول في snortقاعدة البيانات الخاصة بك .

mysql -u snort -p snort
select count(*) from event;

طالما أن العد أكثر من 0 كل شيء يعمل بشكل صحيح!

ومع ذلك ، إذا كان العدد IS 0 ، فمن المحتمل أنك إما تقوم بضغط نظامك من نظام يتطابق مع عنوان IP مدرج في القائمة البيضاء. إذا كان هذا هو الحال ، فحاول تنفيذ الأمر ping على نظامك من خارج شبكتك والتأكد من تعرضه للعالم الخارجي.

تهانينا ، لديك الآن طريقة لقراءة الاقتحامات المكتشفة وتتبعها.