Configurare Barnyard 2 cu Snort

• Înainte de a începe
• Actualizați, actualizați și reporniți
• Configurare pre-instalare
• Configurarea lui Barnyard2
• Testarea

Barnyard2 este o modalitate de stocare și procesare a ieșirilor binare de la Snort într-o bază de date MySQL.

Înainte de a începe

Vă rugăm să rețineți că, dacă nu aveți snort instalat pe sistemul dvs., avem un ghid pentru instalarea snortului pe sistemele debian . Pentru ca acest sistem să funcționeze este necesară.

Actualizați, actualizați și reporniți

Înainte de a pune mâna în realitate pe sursele Snort (S), trebuie să ne asigurăm că sistemul nostru este actualizat. Putem face acest lucru prin emiterea comenzilor de mai jos.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configurare pre-instalare

Dacă nu aveți instalat MySQL, îl puteți instala cu următoarea comandă,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Dacă nu aveți instalat și configurat Snort sistemul de detectare a intruziunilor rețelei (IDS), consultați documentația de instalare a documentației

Configurarea lui Barnyard2

Pentru a instala Barnyard trebuie să preluăm sursa de pe pagina github a lui Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Acum, că avem sursa de barnyard, trebuie să facem autoreconfbarnyard.

sudo autoreconf -fvi -I ./m4

Actualizați referințele bibliotecii de sistem

Odată terminat, trebuie să faceți un link către biblioteca dumbnet ca dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Deoarece în esență am făcut o nouă bibliotecă de sistem, trebuie să actualizăm memoria cache a sistemului. Acest lucru se poate realiza prin emiterea următoarei comenzi:

sudo ldconfig

Configurarea Barnyard2 pentru MySQL

Această parte este importantă, deoarece depinde dacă sistemul dvs. este sau nu un sistem pe 64 biți sau un sistem pe 32 biți.

Dacă nu sunteți sigur dacă sistemul dvs. este sau nu pe 64 de biți sau pe 32 biți, îl puteți utiliza uname -msau archpentru a realiza acest lucru.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Deci, configurația ar trebui să arate ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Copierea configurațiilor

Pentru a configura corect barnyard și a lăsa să funcționeze cu sistemul nostru, trebuie să copiem peste fișierele noastre de configurare. De asemenea, vă rugăm să rețineți, în timp ce am testat acest lucru, a trebuit să creez directorul de jurnal pentru barnyard2, altfel rulând acesta va eșua.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Crearea bazei de date

Acum că instanța noastră de barnyard a fost în cea mai mare parte configurată, trebuie să creăm și să asociem o bază de date cu configurarea noastră.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Configurarea barnyard-ului pentru utilizare cu MySQL

În cazul în care nu s-a întâmplat să schimbați parola din comanda de mai sus, puteți reseta parola reintrând comanda mysql și introducând

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

În partea de jos a /etc/snort/barnyard2.conffișierului dvs. adăugați următoarele și modificați parola la ceea ce ați setat mai sus.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

În scopuri de securitate, trebuie să blocăm fișierul nostru barnyard.conf, deoarece conține parola bazei de date în textul clar.

sudo chmod o-r /etc/snort/barnyard2.conf

Testarea

Puteți testa snort-ul rulându-l în modul de alertă folosind fișierul dvs. de configurare.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Odată ce funcționează snort, deschideți un alt terminal și faceți clic pe adresa sistemului, ar trebui să puteți vedea mesajele de pe terminalul dvs. principal.

După ce aveți unele date în jurnalele de snort, ar trebui să puteți testa barnyard împotriva acesteia.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Aceste steaguri înseamnă practic următoarele.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

După ce a început barnyard, o dată Waiting for new dataapare, puteți renunța la aplicație apăsând ctrl + cacum pentru a verifica baza de date MySQL, conectându-vă înapoi la serverul MySQL și selectând toate din eventtabelul din snortbaza de date.

mysql -u snort -p snort
select count(*) from event;

Atâta timp cât numărul este mai mare de 0, totul a funcționat corect!

Totuși, dacă numărul IS 0, este posibil să faceți un ping pe sistemul dvs. dintr-un sistem care se potrivește cu un ip cu listă albă. În acest caz, încercați să faceți ping-ul sistemului dvs. din rețeaua dvs. și să vă asigurați că acesta este expus lumii exterioare.

Felicitări, aveți acum o modalitate de a citi și de a urmări intruziunile detectate.