Setup Barnyard 2 With Snort

• Sebelum kita mulai
• Perbarui, Tingkatkan, dan Reboot
• Pra-instal konfigurasi
• Menyiapkan Barnyard2
• Pengujian

Barnyard2 adalah cara untuk menyimpan dan memproses keluaran biner dari Snort ke dalam database MySQL.

Sebelum kita mulai

Harap dicatat bahwa jika Anda tidak memiliki snort yang diinstal pada sistem Anda, kami memiliki panduan untuk menginstal snort pada sistem debian . Anda harus menginstal dengusan agar sistem ini berfungsi.

Perbarui, Tingkatkan, dan Reboot

Sebelum kita benar-benar mendapatkan sumber Snort (S), kita perlu memastikan sistem kita mutakhir. Kita dapat melakukan ini dengan mengeluarkan perintah di bawah ini.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Pra-instal konfigurasi

Jika Anda belum menginstal MySQL, Anda dapat menginstalnya dengan perintah berikut,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Jika Anda tidak menginstal dan mengonfigurasi sistem deteksi intrusi jaringan (IDS), silakan baca dokumentasi instalasi dokumentasi

Menyiapkan Barnyard2

Untuk menginstal Barnyard, kita perlu mengambil sumber dari halaman github Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Sekarang kita memiliki sumber untuk lumbung, kita harus autoreconflumbung.

sudo autoreconf -fvi -I ./m4

Perbarui referensi pustaka sistem

Setelah itu selesai harus membuat symlink ke perpustakaan dumbnet sebagai dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Karena pada dasarnya kami membuat pustaka sistem baru, kami harus memperbarui cache pustaka sistem. Ini dapat dilakukan dengan mengeluarkan perintah berikut:

sudo ldconfig

Mengkonfigurasi Barnyard2 untuk MySQL

Bagian ini penting karena tergantung pada apakah sistem Anda adalah sistem 64 bit atau sistem 32 bit.

Jika Anda tidak yakin apakah sistem Anda 64 bit atau 32 bit, Anda dapat menggunakan uname -matau archuntuk mencapai ini.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Sehingga konfigurasi akan terlihat seperti ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Konfigurasi penyalinan

Untuk mengatur lumbung dengan benar dan membiarkannya bekerja dengan sistem kami, kami perlu menyalin file konfigurasi kami. Juga, harap dicatat, ketika saya menguji ini saya harus membuat direktori log untuk barnyard2 jika tidak menjalankannya akan gagal.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Membuat database

Sekarang instance barnyard kami sebagian besar telah diatur, kita perlu membuat dan mengaitkan database dengan setup kita.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Mengkonfigurasi lumbung untuk digunakan dengan MySQL

Jika Anda tidak mengubah kata sandi pada perintah di atas, Anda dapat mengatur ulang kata sandi dengan memasukkan kembali perintah mysql dan memasukkan

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Di bagian paling bawah dari /etc/snort/barnyard2.conffile Anda tambahkan berikut ini dan edit kata sandi untuk apa yang Anda atur di atas.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Untuk tujuan keamanan, kami perlu mengunci file barnyard.conf kami karena berisi kata sandi basis data Anda di cleartext.

sudo chmod o-r /etc/snort/barnyard2.conf

Pengujian

Anda dapat menguji dengusan dengan menjalankannya dalam mode peringatan menggunakan file konfigurasi Anda.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Setelah mendengus berjalan, buka terminal lain dan ping alamat sistem itu, Anda harus dapat melihat pesan di terminal utama Anda.

Sekarang setelah Anda memiliki beberapa data dalam snort log, Anda harus dapat menguji lumbung terhadapnya.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Bendera ini pada dasarnya berarti sebagai berikut.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Setelah memulai lumbung, sekali Waiting for new datamuncul Anda dapat keluar dari aplikasi dengan menekan ctrl + csekarang untuk memeriksa database MySQL Anda dengan masuk kembali ke server MySQL dan memilih semua dari eventtabel di snortdatabase Anda .

mysql -u snort -p snort
select count(*) from event;

Selama hitungan lebih dari 0 semuanya bekerja dengan baik!

Namun, jika hitung IS 0, Anda mungkin sedang melakukan ping sistem dari sistem yang cocok dengan ip yang masuk daftar putih. Jika itu masalahnya, coba ping sistem Anda dari luar jaringan Anda dan untuk memastikan bahwa itu terkena dunia luar.

Selamat, Anda sekarang memiliki cara untuk membaca dan melacak intrusi yang terdeteksi.