Configurer Barnyard 2 avec Snort

• Avant que nous commencions
• Mettre à jour, mettre à niveau et redémarrer
• Configuration de pré-installation
• Configuration de Barnyard2
• Essai

Barnyard2 est un moyen de stocker et de traiter les sorties binaires de Snort dans une base de données MySQL.

Avant que nous commencions

Veuillez noter que si vous n'avez pas installé snort sur votre système, nous avons un guide pour installer snort sur les systèmes debian . Vous devez avoir installé snort pour que ce système fonctionne.

Mettre à jour, mettre à niveau et redémarrer

Avant de mettre la main sur les sources Snort (S), nous devons nous assurer que notre système est à jour. Nous pouvons le faire en émettant les commandes ci-dessous.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuration de pré-installation

Si vous n'avez pas installé MySQL, vous pouvez l'installer avec la commande suivante,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Si vous n'avez pas installé et configuré le système de détection d'intrusion réseau (IDS) Snort, veuillez consulter la documentation documentation d' installation

Configuration de Barnyard2

Afin d'installer Barnyard, nous devons récupérer la source de la page github de Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Maintenant que nous avons la source de la basse-cour, nous devons la autoreconfbasse-cour.

sudo autoreconf -fvi -I ./m4

Mettre à jour les références de bibliothèque système

Une fois cela terminé, vous devez créer un lien symbolique vers la bibliothèque de dumbnet en tant que dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Parce que nous avons essentiellement créé une nouvelle bibliothèque système, nous devons mettre à jour le cache de la bibliothèque du système. Cela peut être fait en exécutant la commande suivante:

sudo ldconfig

Configuration de Barnyard2 pour MySQL

Cette partie est importante car elle dépend si votre système est un système 64 bits ou 32 bits.

Si vous ne savez pas si votre système est 64 bits ou 32 bits, vous pouvez utiliser uname -mou archpour y parvenir.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Donc, cette configuration devrait ressembler à ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Copie des configurations

Afin de configurer correctement la basse-cour et de la laisser fonctionner avec notre système, nous devons copier nos fichiers de configuration. De plus, veuillez noter que pendant que je testais cela, je devais créer le répertoire des journaux pour barnyard2, sinon son exécution échouerait.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Création de la base de données

Maintenant que notre instance de basse-cour a été principalement configurée, nous devons créer et associer une base de données à notre configuration.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Configuration de basse-cour pour une utilisation avec MySQL

Si vous n'avez pas changé le mot de passe dans la commande ci-dessus, vous pouvez réinitialiser le mot de passe en entrant à nouveau la commande mysql et en entrant

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Tout en bas de votre /etc/snort/barnyard2.conffichier, ajoutez ce qui suit et modifiez le mot de passe selon ce que vous avez défini ci-dessus.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Pour des raisons de sécurité, nous devons verrouiller notre fichier barnyard.conf car il contient le mot de passe de votre base de données en texte clair.

sudo chmod o-r /etc/snort/barnyard2.conf

Essai

Vous pouvez tester Snort en l'exécutant en mode alerte à l'aide de votre fichier de configuration.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Une fois que snort est en cours d'exécution, ouvrez un autre terminal et envoyez une requête ping à l'adresse de ce système, vous devriez pouvoir voir les messages sur votre terminal principal.

Maintenant que vous avez des données dans vos journaux snort, vous devriez pouvoir tester la basse-cour avec.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Ces drapeaux signifient essentiellement ce qui suit.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Après avoir démarré la basse-cour, une fois Waiting for new dataapparaît, vous pouvez quitter l'application en appuyant ctrl + cmaintenant pour vérifier votre base de données MySQL en vous reconnectant au serveur MySQL et en sélectionnant tout dans le eventtableau de votre snortbase de données.

mysql -u snort -p snort
select count(*) from event;

Tant que le nombre est supérieur à 0, tout a fonctionné correctement!

Cependant, si le nombre est 0, vous exécutez probablement une commande ping sur votre système à partir d'un système qui correspond à une adresse IP sur liste blanche. Si tel est le cas, essayez d'envoyer une requête ping à votre système depuis l'extérieur de votre réseau et assurez-vous qu'il est exposé au monde extérieur.

Félicitations, vous avez maintenant un moyen de lire et de suivre vos intrusions détectées.