Barnyard2 este o modalitate de stocare și procesare a ieșirilor binare de la Snort într-o bază de date MySQL.
Înainte de a începe
Vă rugăm să rețineți că, dacă nu aveți snort instalat pe sistemul dvs., avem un ghid pentru instalarea snortului pe sistemele debian . Pentru ca acest sistem să funcționeze este necesară.
Actualizați, actualizați și reporniți
Înainte de a pune mâna în realitate pe sursele Snort (S), trebuie să ne asigurăm că sistemul nostru este actualizat. Putem face acest lucru prin emiterea comenzilor de mai jos.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
Configurare pre-instalare
Dacă nu aveți instalat MySQL, îl puteți instala cu următoarea comandă,
sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool
Dacă nu aveți instalat și configurat Snort sistemul de detectare a intruziunilor rețelei (IDS), consultați documentația de instalare a documentației
Configurarea lui Barnyard2
Pentru a instala Barnyard trebuie să preluăm sursa de pe pagina github a lui Barnyard2 .
cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src
Acum, că avem sursa de barnyard, trebuie să facem autoreconf
barnyard.
sudo autoreconf -fvi -I ./m4
Actualizați referințele bibliotecii de sistem
Odată terminat, trebuie să faceți un link către biblioteca dumbnet ca dnet.
sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h
Deoarece în esență am făcut o nouă bibliotecă de sistem, trebuie să actualizăm memoria cache a sistemului. Acest lucru se poate realiza prin emiterea următoarei comenzi:
sudo ldconfig
Configurarea Barnyard2 pentru MySQL
Această parte este importantă, deoarece depinde dacă sistemul dvs. este sau nu un sistem pe 64 biți sau un sistem pe 32 biți.
Dacă nu sunteți sigur dacă sistemul dvs. este sau nu pe 64 de biți sau pe 32 biți, îl puteți utiliza uname -m
sau arch
pentru a realiza acest lucru.
cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu
Deci, configurația ar trebui să arate ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu
make
sudo make install
Copierea configurațiilor
Pentru a configura corect barnyard și a lăsa să funcționeze cu sistemul nostru, trebuie să copiem peste fișierele noastre de configurare. De asemenea, vă rugăm să rețineți, în timp ce am testat acest lucru, a trebuit să creez directorul de jurnal pentru barnyard2, altfel rulând acesta va eșua.
sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark
Crearea bazei de date
Acum că instanța noastră de barnyard a fost în cea mai mare parte configurată, trebuie să creăm și să asociem o bază de date cu configurarea noastră.
mysql -u root -p
create database snort;
use snort;
source /usr/src/barnyard_src/schemas/create_mysql
CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
grant create, insert, select, delete, update on snort.* to snort@localhost;
exit;
Configurarea barnyard-ului pentru utilizare cu MySQL
În cazul în care nu s-a întâmplat să schimbați parola din comanda de mai sus, puteți reseta parola reintrând comanda mysql și introducând
SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );
În partea de jos a /etc/snort/barnyard2.conf
fișierului dvs. adăugați următoarele și modificați parola la ceea ce ați setat mai sus.
output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost
În scopuri de securitate, trebuie să blocăm fișierul nostru barnyard.conf, deoarece conține parola bazei de date în textul clar.
sudo chmod o-r /etc/snort/barnyard2.conf
Testarea
Puteți testa snort-ul rulându-l în modul de alertă folosind fișierul dvs. de configurare.
sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
Odată ce funcționează snort, deschideți un alt terminal și faceți clic pe adresa sistemului, ar trebui să puteți vedea mesajele de pe terminalul dvs. principal.
După ce aveți unele date în jurnalele de snort, ar trebui să puteți testa barnyard împotriva acesteia.
sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort
Aceste steaguri înseamnă practic următoarele.
-c specifies the config file.
-d is the snort output directory
-f specifies the file to look for.
-w specifies the bookmark file.
-u / -g tells barnyard to run as a specific user and group.
După ce a început barnyard, o dată Waiting for new data
apare, puteți renunța la aplicație apăsând ctrl + c
acum pentru a verifica baza de date MySQL, conectându-vă înapoi la serverul MySQL și selectând toate din event
tabelul din snort
baza de date.
mysql -u snort -p snort
select count(*) from event;
Atâta timp cât numărul este mai mare de 0, totul a funcționat corect!
Totuși, dacă numărul IS 0, este posibil să faceți un ping pe sistemul dvs. dintr-un sistem care se potrivește cu un ip cu listă albă. În acest caz, încercați să faceți ping-ul sistemului dvs. din rețeaua dvs. și să vă asigurați că acesta este expus lumii exterioare.
Felicitări, aveți acum o modalitate de a citi și de a urmări intruziunile detectate.