Stel boerenerf 2 in met snuiven

• Voordat we beginnen
• Update, upgrade en reboot
• Configuratie vooraf installeren
• Boerenerf opzetten 2
• Testen

Barnyard2 is een manier om de binaire uitvoer van Snort op te slaan en te verwerken in een MySQL-database.

Voordat we beginnen

Houd er rekening mee dat als u geen snort op uw systeem heeft geïnstalleerd, we een handleiding hebben voor het installeren van snort op debian-systemen . U moet snort hebben geïnstalleerd om dit systeem te laten werken.

Update, upgrade en reboot

Voordat we de Snort (S) -bronnen daadwerkelijk in handen krijgen, moeten we ervoor zorgen dat ons systeem up-to-date is. We kunnen dit doen door de onderstaande opdrachten uit te voeren.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuratie vooraf installeren

Als je MySQL niet hebt geïnstalleerd, kun je het installeren met de volgende opdracht:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Raadpleeg de documentatie- installatiedocumentatie als u Snort niet hebt geïnstalleerd en geconfigureerd

Boerenerf opzetten 2

Om Barnyard te installeren, moeten we de bron van Barnyard2's github-pagina halen .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Nu we de bron voor boerenerf hebben, moeten we autoreconfboerenerf.

sudo autoreconf -fvi -I ./m4

Werk systeembibliotheekverwijzingen bij

Zodra dat is voltooid, moet u een symlink naar de dumbnet-bibliotheek maken als dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Omdat we in wezen een nieuwe systeembibliotheek hebben gemaakt, moeten we de bibliotheekcache van het systeem bijwerken. Dit kan gedaan worden door de volgende opdracht te geven:

sudo ldconfig

Barnyard2 configureren voor MySQL

Dit onderdeel is belangrijk omdat het ervan afhangt of uw systeem al dan niet een 64-bits systeem of een 32-bits systeem is.

Als u niet zeker weet of uw systeem al dan niet 64-bits of 32-bits is, kunt u dit gebruiken uname -mof archom dit te bereiken.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Dus die configuratie zou er uit moeten zien ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Configuraties kopiëren

Om het boerenerf goed in te stellen en het met ons systeem te laten werken, moeten we onze configuratiebestanden kopiëren. Merk ook op dat, terwijl ik dit testte, ik de logdirectory voor barnyard2 moest maken, anders zou het niet werken.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

De database maken

Nu onze boerenstalinstantie grotendeels is opgezet, moeten we een database maken en deze aan onze opstelling koppelen.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Boerenerf configureren voor gebruik met MySQL

Als u het wachtwoord in het bovenstaande commando niet toevallig hebt gewijzigd, kunt u het wachtwoord opnieuw instellen door de opdracht mysql opnieuw in te voeren en in te voeren

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

/etc/snort/barnyard2.confVoeg helemaal onderaan uw bestand het volgende toe en bewerk het wachtwoord voor wat u hierboven hebt ingesteld.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Om veiligheidsredenen moeten we ons bestand barnyard.conf vergrendelen omdat het uw databasewachtwoord in duidelijke tekst bevat.

sudo chmod o-r /etc/snort/barnyard2.conf

Testen

U kunt snort testen door het in de waarschuwingsmodus te laten lopen met uw configuratiebestand.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Zodra snort actief is, opent u een andere terminal en pingt u het adres van dat systeem, zou u de berichten op uw hoofdterminal moeten kunnen zien.

Nu u wat gegevens in uw snortlogboeken heeft, zou u het boerenerf ertegen moeten kunnen testen.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Deze vlaggen betekenen in feite het volgende.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Na het starten van het boerenerf, Waiting for new dataverschijnt zodra het verschijnt de toepassing door ctrl + cnu op te drukken om uw MySQL-database te controleren door u opnieuw aan te melden bij de MySQL-server en alles uit de eventtabel in uw snortdatabase te selecteren.

mysql -u snort -p snort
select count(*) from event;

Zolang de telling meer dan 0 is, werkte alles naar behoren!

Als het aantal echter 0 is, pingt u waarschijnlijk uw systeem vanaf een systeem dat overeenkomt met een op de witte lijst geplaatste IP. Als dat het geval is, probeer dan uw systeem van buiten uw netwerk te pingen en zorg ervoor dat het wordt blootgesteld aan de buitenwereld.

Gefeliciteerd, je hebt nu een manier om je gedetecteerde inbraken te lezen en bij te houden.