Richten Sie Barnyard 2 mit Snort ein

• Bevor wir anfangen
• Aktualisieren, aktualisieren und neu starten
• Konfiguration vorinstallieren
• Barnyard2 einrichten
• Testen

Barnyard2 ist eine Möglichkeit, die Binärausgaben von Snort in einer MySQL-Datenbank zu speichern und zu verarbeiten.

Bevor wir anfangen

Bitte beachten Sie, dass wir eine Anleitung zum Installieren von Snort auf Debian-Systemen haben, wenn auf Ihrem System kein Snort installiert ist . Sie müssen snort installiert haben, damit dieses System funktioniert.

Aktualisieren, aktualisieren und neu starten

Bevor wir uns tatsächlich mit den Snort (S) -Quellen befassen, müssen wir sicherstellen, dass unser System auf dem neuesten Stand ist. Wir können dies tun, indem wir die folgenden Befehle eingeben.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Konfiguration vorinstallieren

Wenn Sie MySQL nicht installiert haben, können Sie es mit dem folgenden Befehl installieren:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Wenn Sie das Network Intrusion Detection System (IDS) Snort nicht installiert und konfiguriert haben, lesen Sie bitte die Dokumentation zur Installationsdokumentation

Barnyard2 einrichten

Um Barnyard zu installieren, müssen wir die Quelle von Barnyard2s Github-Seite holen .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Jetzt, wo wir die Quelle für Scheunenhof haben, müssen wir autoreconfScheunenhof.

sudo autoreconf -fvi -I ./m4

Aktualisieren Sie die Systembibliotheksreferenzen

Sobald dies abgeschlossen ist, müssen Sie einen Symlink zur Dumbnet-Bibliothek als dnet erstellen.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Da wir im Wesentlichen eine neue Systembibliothek erstellt haben, müssen wir den Bibliothekscache des Systems aktualisieren. Dies kann durch Ausgabe des folgenden Befehls erfolgen:

sudo ldconfig

Barnyard2 für MySQL konfigurieren

Dieser Teil ist wichtig, da er davon abhängt, ob Ihr System ein 64-Bit-System oder ein 32-Bit-System ist.

Wenn Sie sich nicht sicher sind, ob Ihr System 64-Bit oder 32-Bit ist, können Sie dies entweder verwenden uname -moder archerreichen.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Diese Konfiguration sollte also so aussehen ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Konfigurationen kopieren

Um barnyard richtig einzurichten und mit unserem System arbeiten zu lassen, müssen wir unsere Konfigurationsdateien kopieren. Bitte beachten Sie auch, dass ich während des Testens das Protokollverzeichnis für barnyard2 erstellen musste, da es sonst fehlschlagen würde.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Datenbank erstellen

Nachdem unsere Barnyard-Instanz größtenteils eingerichtet wurde, müssen wir eine Datenbank erstellen und mit unserem Setup verknüpfen.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Barnyard für die Verwendung mit MySQL konfigurieren

Falls Sie das Kennwort im obigen Befehl nicht geändert haben, können Sie das Kennwort zurücksetzen, indem Sie den Befehl mysql erneut eingeben und eingeben

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Fügen Sie ganz unten in Ihrer /etc/snort/barnyard2.confDatei Folgendes hinzu und bearbeiten Sie das Kennwort wie oben angegeben.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Aus Sicherheitsgründen müssen wir unsere Datei barnyard.conf sperren, da sie Ihr Datenbankkennwort im Klartext enthält.

sudo chmod o-r /etc/snort/barnyard2.conf

Testen

Sie können snort testen, indem Sie es mit Ihrer Konfigurationsdatei im Alarmmodus ausführen lassen.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Sobald snort ausgeführt wird, öffnen Sie ein anderes Terminal und pingen Sie die Adresse dieses Systems. Sie sollten in der Lage sein, die Nachrichten auf Ihrem Hauptterminal anzuzeigen.

Nachdem Sie einige Daten in Ihren Snort-Protokollen haben, sollten Sie in der Lage sein, Barnyard dagegen zu testen.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Diese Flags bedeuten im Wesentlichen Folgendes.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Nach dem Start von barnyard können Waiting for new dataSie die Anwendung beenden, indem Sie ctrl + cjetzt drücken , um Ihre MySQL-Datenbank zu überprüfen, indem Sie sich wieder beim MySQL-Server anmelden und alle aus der eventTabelle in Ihrer snortDatenbank auswählen .

mysql -u snort -p snort
select count(*) from event;

Solange die Anzahl mehr als 0 beträgt, hat alles richtig funktioniert!

Wenn die Anzahl jedoch 0 ist, pingen Sie Ihr System wahrscheinlich entweder von einem System aus an, das einer IP-Adresse auf der Whitelist entspricht. Wenn dies der Fall ist, versuchen Sie, Ihr System von außerhalb Ihres Netzwerks anzupingen und sicherzustellen, dass es der Außenwelt ausgesetzt ist.

Herzlichen Glückwunsch, Sie haben jetzt die Möglichkeit, Ihre erkannten Eingriffe zu lesen und zu verfolgen.