Skonfiguruj Barnyard 2 z Snortem

• Zanim zaczniemy
• Zaktualizuj, uaktualnij i uruchom ponownie
• Konfiguracja przed instalacją
• Konfigurowanie Barnyarda 2
• Testowanie

Barnyard2 to sposób na przechowywanie i przetwarzanie danych binarnych Snorta w bazie danych MySQL.

Zanim zaczniemy

Pamiętaj, że jeśli nie masz snorta zainstalowanego w twoim systemie, mamy przewodnik po instalacji snorta w systemach debian . Musisz zainstalować snort, aby ten system działał.

Zaktualizuj, uaktualnij i uruchom ponownie

Zanim przejdziemy do źródeł Snorta (S), musimy upewnić się, że nasz system jest aktualny. Możemy to zrobić, wydając poniższe polecenia.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Konfiguracja przed instalacją

Jeśli nie masz zainstalowanego MySQL, możesz go zainstalować za pomocą następującego polecenia:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Jeśli nie masz zainstalowanego i skonfigurowanego Snort systemu wykrywania włamań do sieci (IDS), zapoznaj się z dokumentacją instalacji dokumentacji

Konfigurowanie Barnyarda 2

Aby zainstalować Barnyarda, musimy pobrać źródło ze strony github Barnyarda2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Teraz, gdy mamy źródło dla podwórka, musimy go autoreconfstać.

sudo autoreconf -fvi -I ./m4

Zaktualizuj odwołania do bibliotek systemowych

Po zakończeniu należy utworzyć dowiązanie symboliczne do biblioteki dumbnet jako dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Ponieważ zasadniczo stworzyliśmy nową bibliotekę systemową, musimy zaktualizować pamięć podręczną bibliotek systemowych. Można to zrobić, wydając następujące polecenie:

sudo ldconfig

Konfigurowanie Barnyard2 dla MySQL

Ta część jest ważna, ponieważ zależy od tego, czy twój system jest systemem 64-bitowym czy 32-bitowym.

Jeśli nie masz pewności, czy Twój system jest 64-bitowy, czy 32-bitowy, możesz użyć tego uname -mlub archgo osiągnąć.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Tak więc ta konfiguracja powinna wyglądać ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopiowanie konfiguracji

Aby poprawnie skonfigurować stodołę i umożliwić jej działanie z naszym systemem, musimy skopiować nasze pliki konfiguracyjne. Pamiętaj też, że podczas testowania tego musiałem utworzyć katalog dziennika dla barnyard2, w przeciwnym razie jego uruchomienie nie powiedzie się.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Tworzenie bazy danych

Teraz, gdy nasza instancja podwórka została w większości skonfigurowana, musimy utworzyć bazę danych i powiązać ją z naszą konfiguracją.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Konfigurowanie podwórka do użytku z MySQL

Jeśli nie zmieniłeś hasła w powyższym poleceniu, możesz zresetować hasło, ponownie wprowadzając polecenie mysql i wprowadzając

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Na samym dole /etc/snort/barnyard2.confpliku dodaj poniższe i edytuj hasło do tego, co ustawiłeś powyżej.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Ze względów bezpieczeństwa musimy zablokować nasz plik barnyard.conf, ponieważ zawiera on hasło do bazy danych w postaci jawnego tekstu.

sudo chmod o-r /etc/snort/barnyard2.conf

Testowanie

Możesz przetestować snort, uruchamiając go w trybie alertu przy użyciu pliku konfiguracyjnego.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Po uruchomieniu snortu otwórz inny terminal i pinguj adres tego systemu, powinieneś być w stanie zobaczyć komunikaty na głównym terminalu.

Teraz, gdy masz już jakieś dane w swoich dziennikach snortu, powinieneś być w stanie przetestować przeciwko nim podwórze.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Te flagi w zasadzie oznaczają następujące.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Po uruchomieniu barnyarda, raz Waiting for new datapojawi się, możesz wyjść z aplikacji, naciskając ctrl + cteraz, aby sprawdzić bazę danych MySQL, logując się ponownie na serwerze MySQL i wybierając wszystko z eventtabeli w snortbazie danych.

mysql -u snort -p snort
select count(*) from event;

Tak długo, jak liczba jest większa niż 0, wszystko działało poprawnie!

Jeśli jednak liczba wynosi 0, prawdopodobnie pingujesz system z systemu, który pasuje do białej listy ip. W takim przypadku spróbuj pingować system spoza sieci i upewnić się, że jest on wystawiony na świat zewnętrzny.

Gratulacje, masz teraz możliwość czytania i śledzenia wykrytych włamań.