Snort ile Barnyard 2 Kurulumu

• Başlamadan Önce
• Güncelleme, Yükseltme ve Yeniden Başlatma
• Kurulum öncesi yapılandırma
• Barnyard2 kurulumu
• Test yapmak

Barnyard2, Snort'un ikili çıktılarını bir MySQL veritabanında saklamanın ve işlemenin bir yoludur.

Başlamadan Önce

Sisteminizde snort yüklü değilse , debian sistemlerine snort yüklemek için bir rehberimiz olduğunu lütfen unutmayın . Bu sistemin çalışması için snort yüklü olmalıdır.

Güncelleme, Yükseltme ve Yeniden Başlatma

Aslında Snort (S) kaynaklarını elimize almadan önce, sistemimizin güncel olduğundan emin olmalıyız. Bunu aşağıdaki komutları vererek yapabiliriz.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Kurulum öncesi yapılandırma

MySQL kurulu değilse, aşağıdaki komutla kurabilirsiniz,

sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

Ağ saldırı tespit sistemi (IDS) Snort'u yüklü ve yapılandırılmamışsa, lütfen belgelerin kurulum belgelerine bakın.

Barnyard2 kurulumu

Barnyard'ı yüklemek için, kaynağı Barnyard2'nin github sayfasından almamız gerekiyor .

cd /usr/src
sudo git clone https://github.com/firnsy/barnyard2 barnyard_src
cd barnyard_src

Artık ahır kaynağına sahip olduğumuza göre, ahır ihtiyacımız var autoreconf.

sudo autoreconf -fvi -I ./m4

Sistem kitaplığı referanslarını güncelleme

Bu bittiğinde, dnet olarak dumbnet kütüphanesine bir sembolik bağlantı yapmak zorundasınız.

sudo ln -s /usr/include/dumbnet.h /usr/include/dnet.h

Esasen yeni bir sistem kütüphanesi yaptığımızdan, sistemin kütüphane önbelleğini güncellememiz gerekiyor. Bu, aşağıdaki komutu vererek yapılabilir:

sudo ldconfig

Barnyard2'yi MySQL için yapılandırma

Bu bölüm önemlidir, çünkü sisteminizin 64 bit sistem veya 32 bit sistem olmasına bağlı olarak değişir.

Sisteminizin 64 bit veya 32 bit olup olmadığından emin değilseniz, bunu elde etmek için uname -mya da kullanabilirsiniz arch.

cd /usr/src/barnyard_src
./configure --with-mysql --with-mysql-libraries=/usr/lib/YOUR-ARCH-HERE-linux-gnu

Böylece bu yapılandırma ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu

make
sudo make install

Kopyalama yapılandırmaları

Ahırları düzgün bir şekilde kurmak ve sistemimizle çalışmasına izin vermek için yapılandırma dosyalarımızı kopyalamamız gerekir. Ayrıca, bunu test ederken ben barnyard2 için günlük dizini oluşturmak zorunda kaldı, aksi takdirde çalışan başarısız olacağını lütfen unutmayın.

sudo cp etc/barnyard2.conf /etc/snort
sudo mkdir /var/log/barnyard2
sudo chown snort.snort /var/log/barnyard2
sudo touch /var/log/snort/barnyard2.bookmark
sudo chown snort.snort /var/log/snort/barnyard2.bookmark

Veritabanı oluşturma

Artık barnyard örneğimiz kurulduğuna göre, bir veritabanı oluşturmamız ve kurulumumuzla ilişkilendirmemiz gerekiyor.

 mysql -u root -p
 create database snort;
 use snort;
 source /usr/src/barnyard_src/schemas/create_mysql
 CREATE USER 'snort'@'localhost' IDENTIFIED BY 'MYPASSWORD';
 grant create, insert, select, delete, update on snort.* to snort@localhost;
 exit;

Ahırları MySQL ile kullanım için yapılandırma

Yukarıdaki komutta parolayı değiştirmediyseniz, mysql komutunu yeniden girip şunu girerek parolayı sıfırlayabilirsiniz.

SET PASSWORD FOR 'snort'@'localhost' = PASSWORD( 'MYPASSWORD' );

Senin çok alt anda /etc/snort/barnyard2.confdosyada yukarıda belirlenen ne aşağıdakileri ve düzenle şifre ekleyin.

output database: log, mysql, user=snort password=MYPASSWORD dbname=snort host=localhost

Güvenlik nedeniyle, barnyard.conf dosyamızı kilitlememiz gerekir, çünkü veritabanı şifrenizi açık metin olarak içerir.

sudo chmod o-r /etc/snort/barnyard2.conf

Test yapmak

Snort'u yapılandırma dosyanızı kullanarak uyarı modunda çalıştırarak test edebilirsiniz.

sudo /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Snort çalışırken, başka bir terminal açın ve sistemin adresine ping atın, ana terminalinizdeki mesajları görebilmeniz gerekir.

Artık snort günlüklerinizde bazı verileriniz olduğuna göre, barnyard'ı buna karşı test edebilmelisiniz.

sudo barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.bookmark -g snort -u snort

Bu bayraklar temel olarak aşağıdakiler anlamına gelir.

-c   specifies the config file.
-d   is the snort output directory
-f    specifies the file to look for.
-w   specifies the bookmark file.
-u / -g   tells barnyard to run as a specific user and group.

Barnyard'ı başlattıktan sonra, bir kez Waiting for new datagöründükten sonra ctrl + cMySQL veritabanınıza tekrar giriş eventyaparak ve snortveritabanınızdaki tablodan tümünü seçerek MySQL veritabanınızı kontrol etmek için şimdi tuşuna basarak uygulamadan çıkabilirsiniz .

mysql -u snort -p snort
select count(*) from event;

Sayı 0'dan fazla olduğu sürece her şey düzgün çalıştı!

Ancak, sayı IS 0 ise, muhtemelen beyaz listeye alınan bir ip ile eşleşen bir sistemden sisteminize ping atıyorsunuzdur. Durum buysa, sisteminize ağınızın dış tarafından ping atmayı ve bunun dış dünyaya açık olduğundan emin olun.

Tebrikler, artık tespit ettiğiniz saldırıları okumak ve takip etmek için bir yolunuz var.