راه اندازی Barnyard 2 با خروپف

• قبل از شروع
• به روزرسانی ، ارتقاء و راه اندازی مجدد
• پیکربندی را از قبل نصب کنید
• تنظیم Barnyard2
• آزمایش کردن

Barnyard2 راهی برای ذخیره و پردازش خروجی های باینری از Snort به یک پایگاه داده MySQL است.

قبل از شروع

لطفاً توجه داشته باشید که اگر شما snort را بر روی سیستم خود نصب نکردید ، ما یک راهنمای نصب snort در سیستم های debian داریم . برای اینکه این سیستم کار کند ، باید خرخر را نصب کنید.

به روزرسانی ، ارتقاء و راه اندازی مجدد

قبل از اینکه واقعاً دست خود را وارد منابع Snort (S) کنیم ، باید اطمینان حاصل کنیم که سیستم ما به روز است. ما می توانیم با صدور دستورات زیر این کار را انجام دهیم.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

پیکربندی را از قبل نصب کنید

اگر MySQL را نصب نکنید می توانید آن را با دستور زیر نصب کنید ،

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

اگر سیستم شناسایی شبکه نفوذ (IDS) Snort را نصب و تنظیم نکرده اید ، لطفاً با مستندات نصب اسناد مشورت کنید.

تنظیم Barnyard2

برای نصب Barnyard باید منبع را از صفحه github Barnyard2 بگیریم .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

اکنون که ما منبع لازم برای انبارها را در اختیار داریم ، باید autoreconfزباله سازی کنیم.

sudo autoreconf -fvi -I ./m4

منابع کتابخانه سیستم را به روز کنید

پس از اتمام ، مجبورید به عنوان dnet یک لینک دهنده به کتابخانه گنگ بزنید.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

از آنجا که ما در واقع یک کتابخانه سیستم جدید ساخته ایم ، باید حافظه نهانگاه سیستم را به روز کنیم. این کار با صدور دستور زیر ق��بل انجام است:

sudo ldconfig

پیکربندی Barnyard2 برای MySQL

این بخش مهم است زیرا بستگی به این دارد که آیا سیستم شما یک سیستم 64 بیتی است یا یک سیستم 32 بیتی.

اگر مطمئن نیستید که سیستم شما 64 بیتی یا 32 بیتی است یا خیر ، می توانید از آن استفاده کنید uname -mیا archبه این هدف دست یابید.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

بنابراین باید این پیکربندی به نظر برسد ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

کپی پیکربندی

برای راه اندازی درست انبارها و اجازه کار با سیستم ما ، باید فایلهای پیکربندی خود را کپی کنیم. همچنین ، لطفاً توجه داشته باشید ، در حالی که این مورد را امتحان کردم ، مجبور شدم فهرست ورود به سیستم را برای barnyard2 ایجاد کنم در غیر این صورت اجرای آن با شکست مواجه خواهد شد.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

ایجاد دیتابیس

اکنون که نمونه بارون ما اکثراً راه اندازی شده است ، باید یک پایگاه داده را با راه اندازی خود ایجاد و به آن پیوند دهیم.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

پیکربندی انبارها برای استفاده با MySQL

در صورت عدم تغییر رمز در دستور فوق ، می توانید با وارد کردن مجدد دستور mysql و وارد کردن رمز ورود ، آن را مجددا تنظیم کنید.

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

در انتهای /etc/snort/barnyard2.confپرونده خود موارد زیر را اضافه کنید و رمزعبور را به آنچه در بالا تنظیم کردید ویرایش کنید.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

برای اهداف امنیتی ، باید پرونده barnyard.conf خود را قفل کنیم زیرا این برنامه شامل کلمه عبور بانک اطلاعاتی شما است.

sudo chmod o-r /etc/snort/barnyard2.conf

آزمایش کردن

شما می توانید با استفاده از پرونده پیکربندی خود در حالت هشدار اجرا کنید.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

پس از اجرا شدن خروپف ، ترمینال دیگری را باز کرده و آدرس آن سیستم را پینگ کنید ، باید بتوانید پیام های موجود در ترمینال اصلی خود را مشاهده کنید.

اکنون که داده های زیادی را در سیاهههای مربوط به خروپف خود دارید ، باید بتوانید انبارهای انبار را در برابر آن آزمایش کنید.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

این پرچم ها اساساً به معنی زیر است.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

پس از شروع حیاط خلوت ، Waiting for new dataبه نظر می رسد می توانید برنامه را با فشار دادن ctrl + cاکنون برای ورود به پایگاه داده MySQL با ورود دوباره به سرور MySQL و انتخاب همه از eventجدول در snortپایگاه داده خود ، برنامه را ترک کنید .

mysql -u snort -p snort
select count(*) from event;

تا زمانی که تعداد بیشتر از 0 باشد همه چیز درست کار کرده است!

با این حال ، اگر تعداد 0 0 باشد ، احتمالاً سیستم خود را از سیستمی که با یک لیست سفید مطابقت دارد پینگ می کنید. در این صورت ، سعی کنید سیستم خود را از خارج از شبکه خود پیموده و مطمئن شوید که در معرض دنیای خارج قرار دارد.

تبریک می گویم ، شما اکنون راهی برای خواندن و پیگیری موارد مزاحم شناسایی شده خود دارید.