Настройка Barnyard 2 со Snort

• Прежде чем мы начнем
• Обновление, обновление и перезагрузка
• Предварительная установка конфигурации
• Настройка Barnyard2
• тестирование

Barnyard2 - это способ хранения и обработки двоичных выходов Snort в базе данных MySQL.

Прежде чем мы начнем

Обратите внимание, что если у вас не установлен snort в вашей системе, у нас есть руководство по установке snort в системах Debian . Для работы этой системы у вас должен быть установлен snort.

Обновление, обновление и перезагрузка

Прежде чем мы действительно попадем в источники Snort (S), мы должны убедиться, что наша система обновлена. Мы можем сделать это, выполнив команды ниже.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Предварительная установка конфигурации

Если у вас не установлен MySQL, вы можете установить его с помощью следующей команды:

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Если у вас нет установленной и настроенной сетевой системы обнаружения вторжений (IDS) Snort, обратитесь к документации по установке.

Настройка Barnyard2

Чтобы установить Barnyard, нам нужно получить исходный код со страницы Garnub Barnyard2 .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Теперь, когда у нас есть источник для скотного двора, нам нужно autoreconfскотный двор.

sudo autoreconf -fvi -I ./m4

Обновить ссылки на системные библиотеки

Как только это закончится, сделайте символическую ссылку на библиотеку dumbnet как dnet.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Поскольку мы, по сути, создали новую системную библиотеку, мы должны обновить кэш системной библиотеки. Это можно сделать, введя следующую команду:

sudo ldconfig

Настройка Barnyard2 для MySQL

Эта часть важна, потому что она зависит от того, является ли ваша система 64-битной или 32-битной системой.

Если вы не уверены, является ли ваша система 64-битной или 32-битной, вы можете использовать uname -mили archдля достижения этой цели.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Так что конфигурация должна выглядеть ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Копирование конфигураций

Чтобы правильно настроить Barnyard и обеспечить его работу с нашей системой, нам нужно скопировать наши файлы конфигурации. Кроме того, обратите внимание, что пока я проверял это, мне пришлось создать каталог журналов для barnyard2, иначе запустить его не удалось бы.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Создание базы данных

Теперь, когда наш экземпляр barnyard в основном настроен, нам нужно создать и связать базу данных с нашей настройкой.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Настройка barnyard для использования с MySQL

Если вам не удалось изменить пароль в приведенной выше команде, вы можете сбросить пароль, повторно введя команду mysql и введя

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

В самом низу вашего /etc/snort/barnyard2.confфайла добавьте следующее и измените пароль к тому, что вы установили выше.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

В целях безопасности нам нужно заблокировать наш файл barnyard.conf, поскольку он содержит пароль вашей базы данных в виде открытого текста.

sudo chmod o-r /etc/snort/barnyard2.conf

тестирование

Вы можете проверить snort, запустив его в режиме оповещения, используя ваш файл конфигурации.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

После запуска snort, откройте другой терминал и отправьте ping на адрес этой системы, вы сможете увидеть сообщения на своем главном терминале.

Теперь, когда у вас есть какие-то данные в журналах фырканья, вы сможете протестировать их.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Эти флаги в основном означают следующее.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

После запуска barnyard Waiting for new dataвы можете выйти из приложения, нажав кнопку ctrl + cсейчас, чтобы проверить базу данных MySQL, снова войдя на сервер MySQL и выбрав все из eventтаблицы в вашей snortбазе данных.

mysql -u snort -p snort
select count(*) from event;

Пока счет больше 0, все работает правильно!

Однако, если количество равно 0, вы, вероятно, либо пропингуете свою систему из системы, которая соответствует ip из белого списка. Если это так, попробуйте проверить связь вашей системы с внешней стороны сети и убедиться, что она подвержена воздействию внешнего мира.

Поздравляем, теперь у вас есть возможность читать и отслеживать обнаруженные вторжения.