Snortを使用してBarnyard 2をセットアップする

• 始める前に
• 更新、アップグレード、再起動
• プリインストール構成
• Barnyard2のセットアップ
• テスト中

Barnyard2は、Snortからのバイナリ出力をMySQLデータベースに保存および処理する方法です。

始める前に

システムにsnortがインストールされていない場合は、debianシステムにsnortをインストールするためのガイドがあります。このシステムが機能するには、snortがインストールされている必要があります。

更新、アップグレード、再起動

実際にSnort（S）ソースを入手する前に、システムが最新であることを確認する必要があります。これを行うには、以下のコマンドを発行します。

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

プリインストール構成

MySQLがインストールされていない場合は、次のコマンドでインストールできます。

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

ネットワーク侵入検知システム（IDS）Snortがインストールおよび構成されていない場合は、ドキュメントのインストールドキュメントを参照してください

Barnyard2のセットアップ

Barnyardをインストールするには、Barnyard2のgithubページからソースを取得する必要があります。

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

これで、バーンヤードのソースができたので、autoreconfバーンヤードにする必要があります。

sudo autoreconf -fvi -I ./m4

システムライブラリ参照の更新

それが終了したら、dnetとしてdumbnetライブラリへのシンボリックリンクを作成する必要があります。

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

基本的に新しいシステムライブラリを作成したため、システムのライブラリキャッシュを更新する必要があります。これを行うには、次のコマンドを発行します。

sudo ldconfig

MySQL用のBarnyard2の構成

システムが64ビットシステムか32ビットシステムかによって異なるため、この部分は重要です。

システムが64ビットか32ビットかが不明な場合は、uname -mまたはarchを使用してこれを実現できます。

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

その構成は次のようになります ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

構成のコピー

バーンヤードを適切にセットアップしてシステムで機能させるには、構成ファイルをコピーする必要があります。また、これをテストしましたが、barnyard2のログディレクトリを作成する必要がありました。作成しないと、実行に失敗します。

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

データベースを作成する

納屋のインスタンスがほとんどセットアップされたので、データベースを作成してセットアップに関連付ける必要があります。

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

MySQLで使用するためにバーンヤードを構成する

上記のコマンドでパスワードを変更しなかった場合は、mysqlコマンドを再入力して次のように入力することにより、パスワードをリセットできます。

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

/etc/snort/barnyard2.confファイルの一番下に次を追加し、上で設定したパスワードを編集します。

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

セキュリティ上の理由から、barnyard.confファイルにはデータベースのパスワードがクリアテキストで含まれているため、ファイルをロックダウンする必要があります。

sudo chmod o-r /etc/snort/barnyard2.conf

テスト中

設定ファイルを使用してアラートモードで実行することにより、snortをテストできます。

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

snortが実行されたら、別のターミナルを開き、そのシステムのアドレスにpingを実行すると、メインターミナルにメッセージが表示されます。

snortログにいくつかのデータが含まれているので、それに対してイヌビエをテストできるはずです。

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

これらのフラグは基本的に次のことを意味します。

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

バーンヤードを開始した後、Waiting for new data表示されたら、ctrl + c今すぐ押してアプリケーションを終了し、MySQLサーバーに再度ログインeventして、snortデータベース内のテーブルからすべてを選択することにより、MySQLデータベースを確認できます。

mysql -u snort -p snort
select count(*) from event;

カウントが0を超えている限り、すべてが適切に機能しました。

ただし、カウントが0の場合は、ホワイトリストに登録されたIPと一致するシステムからシステムにpingを実行している可能性があります。その場合は、ネットワークの外側からシステムにpingを実行して、ネットワークが外部に公開されていることを確認してください。

おめでとうございます。これで、検出された侵入を読み取り、追跡する方法が整いました。