ตั้งค่า Barnyard 2 พร้อม Snort

• ก่อนที่เราจะเริ่ม
• อัปเกรดอัปเกรดและรีบูต
• การกำหนดค่าล่วงหน้าติดตั้ง
• การตั้งค่า Barnyard2
• การทดสอบ

Barnyard2 เป็นวิธีการจัดเก็บและประมวลผลเอาต์พุตไบนารีจาก Snort ลงในฐานข้อมูล MySQL

ก่อนที่เราจะเริ่ม

โปรดทราบว่าถ้าคุณไม่ได้มีการดื่มอย่างรวดเร็วติดตั้งในระบบของคุณเรามีคำแนะนำสำหรับการติดตั้ง Snort ในระบบเดเบียน คุณต้องติดตั้ง snort เพื่อให้ระบบนี้ทำงานได้

อัปเกรดอัปเกรดและรีบูต

ก่อนที่เราจะเข้าสู่แหล่ง Snort (S) จริง ๆ เราต้องทำให้แน่ใจว่าระบบของเราทันสมัย เราสามารถทำได้โดยการออกคำสั่งด้านล่าง

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

การกำหนดค่าล่วงหน้าติดตั้ง

หากคุณไม่ได้ติดตั้ง MySQL คุณสามารถติดตั้งได้โดยใช้คำสั่งต่อไปนี้

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

หากคุณไม่ได้ติดตั้งและกำหนดค่า Snort ระบบตรวจจับการบุกรุกเครือข่าย (IDS) โปรดศึกษาเอกสารการติดตั้งเอกสารประกอบ

การตั้งค่า Barnyard2

ในการติดตั้งยุ้งข้าวที่เราต้องการที่จะคว้าแหล่งที่มาจากหน้า GitHub Barnyard2 ของ

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

ตอนนี้เรามีแหล่งกำเนิดยุ้งข้าวแล้วเราจำเป็นต้องสร้างautoreconfยุ้งข้าว

sudo autoreconf -fvi -I ./m4

อัพเดตการอ้างอิงไลบรารีระบบ

เมื่อเสร็จแล้วจะต้องทำการเชื่อมโยงไปยังห้องสมุด dumbnet เป็น dnet

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

เนื่องจากเราสร้างไลบรารีระบบใหม่เป็นหลักเราจึงต้องอัปเดตแคชไลบรารีของระบบ สิ่งนี้สามารถทำได้โดยการออกคำสั่งต่อไปนี้:

sudo ldconfig

การกำหนดค่า Barnyard2 สำหรับ MySQL

ส่วนนี้มีความสำคัญเนื่องจากขึ้นอยู่กับว่าระบบของคุณเป็นระบบ 64 บิตหรือระบบ 32 บิต

หากคุณไม่แน่ใจว่าระบบของคุณเป็น 64 บิตหรือ 32 บิตคุณสามารถใช้uname -mหรือarchเพื่อให้บรรลุสิ่งนี้

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

ดังนั้นการกำหนดค่าควรมีลักษณะดังนี้ ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

คัดลอกการกำหนดค่า

ในการตั้งค่ายุ้งฉางอย่างเหมาะสมและปล่อยให้มันทำงานกับระบบของเราเราจำเป็นต้องคัดลอกไฟล์การกำหนดค่าของเรา นอกจากนี้โปรดทราบว่าในขณะที่ฉันทดสอบสิ่งนี้ฉันต้องสร้างไดเรกทอรีบันทึกสำหรับ barnyard2 มิฉะนั้นการเรียกใช้จะล้มเหลว

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

การสร้างฐานข้อมูล

ตอนนี้อินสแตนซ์ยุ้งฉางของเราได้รับการตั้งค่าส่วนใหญ่แล้วเราจำเป็นต้องสร้างและเชื่อมโยงฐานข้อมูลกับการตั้งค่าของเรา

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

การกำหนดค่ายุ้งข้าวเพื่อใช้กับ MySQL

ในกรณีที่คุณไม่ได้เปลี่ยนรหัสผ่านในคำสั่งด้านบนคุณสามารถรีเซ็ตรหัสผ่านโดยป้อนคำสั่ง mysql อีกครั้งและป้อน

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

ที่ด้านล่างสุดของ/etc/snort/barnyard2.confไฟล์ของคุณเพิ่มสิ่งต่อไปนี้และแก้ไขรหัสผ่านที่คุณตั้งไว้ด้านบน

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

เพื่อความปลอดภัยเราจำเป็นต้องล็อคไฟล์ barnyard.conf ของเราเพราะมันมีรหัสผ่านฐานข��อมูลของคุณใน cleartext

sudo chmod o-r /etc/snort/barnyard2.conf

การทดสอบ

คุณสามารถทดสอบ snort โดยให้มันทำงานในโหมดการแจ้งเตือนโดยใช้ไฟล์ปรับแต่ง

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

เมื่อ snort กำลังทำงานให้เปิดเทอร์มินัลอื่นและ ping ที่อยู่ของระบบนั้นคุณควรจะเห็นข้อความในเทอร์มินัลหลักของคุณ

ตอนนี้คุณมีข้อมูลบางอย่างในบันทึก snort ของคุณคุณควรจะทดสอบลานยุ้งฉางกับมัน

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

โดยทั่วไปแล้วธงเหล่านี้หมายถึงสิ่งต่อไปนี้

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

หลังจากเริ่มต้นยุ้งฉางWaiting for new dataปรากฏครั้งหนึ่งคุณสามารถออกจากแอปพลิเคชันได้โดยกดที่นี่ctrl + cเพื่อตรวจสอบฐานข้อมูล MySQL ของคุณโดยการกลับเข้าสู่เซิร์ฟเวอร์ MySQL และเลือกทั้งหมดจากeventตารางในsnortฐานข้อมูลของคุณ

mysql -u snort -p snort
select count(*) from event;

ตราบใดที่การนับมากกว่า 0 ทุกอย่างทำงานอย่างถูกต้อง!

อย่างไรก็ตามหากการนับ IS 0 คุณอาจจะส่งเสียงระบบของคุณจากระบบที่ตรงกับ IP ที่อยู่ในรายการที่อนุญาต หากเป็นเช่นนั้นให้ลองระบบของคุณออกไปจากด้านนอกเครือข่ายของคุณและเพื่อให้แน่ใจว่าจะได้สัมผัสกับโลกภายนอก

ขอแสดงความยินดีขณะนี้คุณมีวิธีอ่านและติดตามการบุกรุกที่ตรวจพบของคุณ