स्नैप के साथ सेटअप बरनी 2

• शुरू करने से पहले
• अद्यतन, नवीनीकरण, और रिबूट
• कॉन्फ़िगरेशन को पूर्व-स्थापित करें
• Barnyard2 की स्थापना
• परिक्षण

Barnyard2 बाइनरी आउटपुट को स्नॉर्ट से MySQL डेटाबेस में स्टोर करने और संसाधित करने का एक तरीका है।

शुरू करने से पहले

कृपया ध्यान दें कि यदि आपके पास आपके सिस्टम पर स्नॉर्ट स्थापित नहीं है, तो हमारे पास डेबियन सिस्टम पर स्नॉर्ट स्थापित करने के लिए एक गाइड है । इस सिस्टम के काम करने के लिए आपके पास स्नॉर्ट स्थापित होना चाहिए।

अद्यतन, नवीनीकरण, और रिबूट

इससे पहले कि हम वास्तव में Snort (S) स्रोतों में अपना हाथ डालें, हमें यह सुनिश्चित करने की आवश्यकता है कि हमारा सिस्टम अद्यतित है। हम नीचे दिए गए आदेश जारी करके ऐसा कर सकते हैं।

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

कॉन्फ़िगरेशन को पूर्व-स्थापित करें

यदि आपके पास MySQL स्थापित नहीं है, तो आप इसे निम्न कमांड के साथ स्थापित कर सकते हैं,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

यदि आपके पास नेटवर्क इंट्रूज़न डिटेक्शन सिस्टम (IDS) नहीं है, तो स्थापित और कॉन्फ़िगर किया गया, कृपया डॉक्यूमेंटेशन इंस्टॉलेशन डॉक्यूमेंट से परामर्श करें

Barnyard2 की स्थापना

Barnyard को स्थापित करने के लिए हमें Barnyard2 के github पृष्ठ से स्रोत को हथियाने की आवश्यकता है ।

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

अब जब हमारे पास बर्नी के लिए स्रोत है तो हमें बार्नीर्ड की आवश्यकता है autoreconf।

sudo autoreconf -fvi -I ./m4

सिस्टम लायब्रेरी संदर्भ अद्यतन करें

एक बार समाप्त हो जाने के बाद डंबनेट लाइब्रेरी में dnet के रूप में सिमलिंक करना पड़ता है।

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

क्योंकि हमने अनिवार्य रूप से एक नया सिस्टम लाइब्रेरी बनाया है जिसे हमें सिस्टम के लाइब्रेरी कैश को अपडेट करना होगा। यह निम्नलिखित आदेश जारी करके किया जा सकता है:

sudo ldconfig

MySQL के लिए Barnyard2 कॉन्फ़िगर करना

यह हिस्सा महत्वपूर्ण है क्योंकि यह इस बात पर निर्भर करता है कि आपका सिस्टम 64 बिट सिस्टम है या 32 बिट सिस्टम है।

यदि आप इस बारे में अनिश्चित हैं कि आपका सिस्टम 64 बिट या 32 बिट का है या नहीं, तो आप इसका उपयोग कर सकते हैं uname -mया archइसे प्राप्त कर सकते हैं ।

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

ताकि कॉन्फ़िगरेशन जैसा दिखना चाहिए ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

विन्यास की नकल करना

बारयार्ड को ठीक से स्थापित करने के लिए और इसे अपने सिस्टम के साथ काम करने के लिए हमें अपनी कॉन्फ़िगरेशन फ़ाइलों पर कॉपी करने की आवश्यकता है। इसके अलावा, कृपया ध्यान दें, जबकि मैंने यह परीक्षण किया था कि मुझे barnyard2 के लिए लॉग डायरेक्टरी बनानी होगी अन्यथा इसे चलाना विफल हो जाएगा।

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

डेटाबेस बनाना

अब जबकि हमारा बार्नर्ड उदाहरण ज्यादातर सेट हो गया है, हमें अपने सेटअप के साथ डेटाबेस बनाने और संबद्ध करने की आवश्यकता है।

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

MySQL के साथ उपयोग के लिए बरगद को कॉन्फ़िगर करना

यदि आप उपरोक्त कमांड में पासवर्ड को बदलने के लिए नहीं हुए हैं, तो आप mysql कमांड दर्ज करके फिर से पासवर्ड रीसेट कर सकते हैं

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

अपनी /etc/snort/barnyard2.confफ़ाइल के निचले भाग में निम्न जोड़ें और जो आपने ऊपर सेट किया था, उसे पासवर्ड संपादित करें।

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

सुरक्षा उद्देश्यों के लिए, हमें अपनी barnyard.conf फ़ाइल को लॉक करने की आवश्यकता है क्योंकि इसमें क्लीयरटेक्स्ट में आपका डेटाबेस पासवर्ड है।

sudo chmod o-r /etc/snort/barnyard2.conf

परिक्षण

आप अपने कॉन्‍फ़िगर फ़ाइल का उपयोग करके अलर्ट मोड में चलकर स्‍नॉर्ट का परीक्षण कर सकते हैं।

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

एक बार जब स्नॉर्ट चल रहा होता है, तो एक और टर्मिनल खोलें और उस सिस्टम के पते को पिंग करें, आपको अपने मुख्य टर्मिनल पर संदेशों को देखने में सक्षम होना चाहिए।

अब जब आपके पास अपने स्नॉट लॉग में कुछ डेटा है, तो आपको इसके खिलाफ बर्नी परीक्षण करने में सक्षम होना चाहिए।

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

ये झंडे मूल रूप से निम्नलिखित का मतलब है।

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Barnyard शुरू करने के बाद, एक बार Waiting for new dataप्रकट होता है कि आप ctrl + cMySQL सर्वर पर वापस लॉग इन करके और eventअपने snortडेटाबेस में तालिका से सभी का चयन करके अपने MySQL डेटाबेस की जांच करने के लिए अब दबाकर आवेदन छोड़ सकते हैं ।

mysql -u snort -p snort
select count(*) from event;

जब तक गिनती 0 से अधिक है तब तक सब कुछ ठीक से काम करता है!

हालाँकि, यदि गिनती 0 है, तो आप शायद अपने सिस्टम को एक ऐसे सिस्टम से पिंग कर रहे हैं जो एक श्वेतसूची में मेल खाता है। अगर ऐसा है, तो अपने सिस्टम को अपने नेटवर्क से बाहर की तरफ पिंग करने की कोशिश करें और सुनिश्चित करें कि यह बाहरी दुनिया के संपर्क में है।

बधाई हो, अब आपके पास अपने पहचाने गए घुसपैठों को पढ़ने और रखने का एक तरीका है।