1. Trang chủ
  2. » Công Nghệ Thông Tin

Hướng dẫn chi tiết cài đặt và cấu hình snort (ai cũng làm theo được)

9 10,6K 139
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 9
Dung lượng 455,09 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Các gói cần thiết phải có trước khi cài đặt snort... • bison • linux-headers-generic • autoconf tạo file configure trong quá trình cài đặt banyard 2 Download các phần mềm bổ trợ, ở đây

Trang 1

Guide install + test snort trên ubuntu

1 Cấu hình cài đặt thử nghiệm:

• Snort 2.9.6.0

• Snort rule 2960

• Hệ điều hành Ubuntu 12.04

2 Các gói cần thiết phải có trước khi cài đặt snort.

Đầu tiên kiểm tra xem hệ thống ping được ra ngoài mạng không

sudo ping 8.8.8.8

Sau đó đặt ip tĩnh cho hệ thống:

sudo vim /etc/network/interfaces

Giải sử đặt địa chỉ tĩnh như sau:

• auto eth0

• iface eth0 inet static

• address 192.168.1.101

• netmask 255.255.255.0

• gateway 192.168.1.1

Sudo /etc/init.d/networking restart

Tiếp theo phải update source.list đảm bảo link tải các gói còn hoạt động:

sudo aptitude update

Tiến hành cài các gói với câu lệnh :

sudo aptitude install <tên gói>

• Apache2

• php5

• php5-gd

• php5-mysql

• php-pear

• mysql-client-5.5

• mysql-server-5.5 (chú ý khi cài đặt gói này phải đặt mật khẩu cho mysql)

• libpcap0.8-dev

• libmysqlclient-dev (tạo thư viện cho banyard 2)

• g++

• make

• libtool

• libdnet-dev (cài đặt theo cấu hình mặc định)

• libpcre3-dev

• flex

• byacc

Trang 2

• bison

• linux-headers-generic

• autoconf (tạo file configure trong quá trình cài đặt banyard 2 )

Download các phần mềm bổ trợ, ở đây download tất cả vào /root/download

mkdir /root/download

sudo wget https://www.snort.org/downloads/2778

sudo tar xvfz 2778 (giải nén dap)

sudo wget https://www.snort.org/downloads/2787

sudo tar xvfz 2787 (giải nén snort)

sudo wget http:// libdnet.googlecode.com/files/libdnet-1.12.tgz

tar xvfz libdnet-1.12.tgz

3 Cài đặt snort

- Đầu tiên cài dap 2.0.2:

cd /root/download/daq-2.0.2

./configure && make && make install

- Cài đặt libdnet

cd /root/download/libdnet-1.12/

./configure && make && make install

ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1

- Cài snort:

cd /root/download/snort-2.9.6.0

./configure prefix=/etc/snort enable-sourcefire && make && make install

# prefix: đưa toàn bộ file cài snort vào thư mục /etc/snort Sau đó tạo môi trường cho snort hoạt động

mkdir /var/log/snort

groupadd snort

useradd -g snort snort

chown snort:snort /var/log/snort

- Download rules (download tại trang chủ: http://www.snort.org/snort-rules/)

tar xfzv snortrules-snapshot-2960.tar.gz -C /etc/snort/

mkdir /etc/snort/lib/snort_dynamicrules

Trang 3

cp /etc/snort/so_rules/precompiled/Ubuntu-12.04/i386/2.9.6.0/* /etc/snort/lib/snort_dynamicrules touch /etc/snort/rules/white_list.rules

touch /etc/snort/rules/black_list.rules

ldconfig

- Cấu hình snort : chỉnh sửa file snort.conf

Edit snort.conf

vim /etc/snort/etc/snort.conf

#Edit RULE_PATH > /etc/snort/rules

SO_RULE PATH > /etc/snort/rules

PREPROC_RULE_PATH > /etc/snort/rules

WHITELIST, BLACKLIST > /etc/snort/rules

# thay đổi đường dẫn dynamicpreprocessor directory /etc/snort/lib/snort_dynamicpreprocessor/

dynamicengine /etc/snort/lib/snort_dynamicengine/libsf_engine.so

dynamicdetection directory /etc/snort/lib/snort_dynamicrules

# thêm dòng (nếu sử dụng banyard2 để import log vào cơ sở dữ liệu) output unified2: filename snort.u2, limit 128

#Uncomment các luật trong dynamic library rules

- Kiểm tra snort đã hoạt động hay chưa:

/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf

Trang 5

4 Cài đặt barnyard2 , mysql, base

- Cài đặt barnyard2

cd /root/download

wget https://github.com/firnsy/barnyard2/tarball/master -O barnyard2-2.10.tar.gz tar xvfz barnyard2-2.10.tar.gz

cd firnsy-barnyard2-272eaf7

autoreconf -fvi -I /m4

./autogen.sh

./configure with-mysql with-mysql-libraries=/usr/lib/i386-linux-gnu

Trang 6

make && make install

cp etc/barnyard2.conf /etc/snort/etc (etc/barnyard2.conf nam trong cung thu muc cai dat

mkdir /var/log/barnyard2

chmod 666 /var/log/barnyard2

touch /var/log/snort/barnyard2.waldo

chown snort.snort /var/log/snort/barnyard2.waldo

- Tạo database sử dụng cho snort

mysql -p

create database snort;

grant create, insert, select, delete, update on snort.* to snort@localhost;

set password for snort@localhost=password('123456');

exit

# chèn schemas cho database snort (lưu ý schemas nằm trong thư mục gói cài barnyard2) mysql -p < schemas/create_mysql snort

- Kiểm tra lại xem đã cấu hình thành công chưa

mysql –p

< nhập DB root password >

show tables;

#Xuất hiện 4 hàng dữ liệu ( row )

use snort;

show tables;

#Xuất hiện 16 hàng dữ liệu ( row )

- Chỉnh sửa file cấu hình barnyard2

vim /etc/snort/etc/barnyard2.conf

#Edit /etc/snort/etc/barnyard2.conf

config reference_file: /etc/snort/etc/reference.config

config classification_file: /etc/snort/etc/classification.config

config gen_file: /etc/snort/etc/gen-msg.map

Trang 7

config sid_file: /etc/snort/etc/sid-msg.map

config hostname: localhost

config interface: eth0

output database: log, mysql, user=snort password=yourpassword dbname=your database host=localhost

- Khởi động banyard2:

#khởi động snort trước :

/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf -i eth0

#Mở 1 tab khác và khởi động banyard

/usr/local/bin/barnyard2 -c /etc/snort/etc/barnyard2.conf -d /var/log/snort/ -f snort.u2 -w /var/log/snort/barnyard2.waldo

- Cấu hình để snort chạy cùng hệ thống

sudo vi /etc/rc.local

#Edit

ifconfig eth0 up

/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf -i eth0

/usr/local/bin/barnyard2 -c /etc/snort/etc/barnyard2.conf \

-G /etc/snort/etc/gen-msg.map \

-S /etc/snort/etc/sid-msg.map \

-d /var/log/snort \

-f snort.u2 \

-w /var/log/snort/barnyard2.waldo

Trang 8

5 Cài đặt giao diện web adodb , b.a.s.e

- B.A.S.E ( Basic Analysis and Security Engine ) cung cấp giao diện Web cho việc truy vấn và phân tích các cảnh báo từ Snort Download B.A.S.E 1.4.4 tại :

http://sourceforge.net/projects/secureideas/files/

- ADOdb là 1 tiện ích trừu tượng hóa cơ sở dữ liệu, cho phép nhiều kiểu tương tác giữa PHP và cơ sở dữ liệu Download ADOdb 5.10 tại : http://sourceforge.net/projects/adodb/files/

- Tải ADOdb và B.A.S.E và giải nén vào /var/www

cd /var/www

# cài đặt ứng dụng cho php pear channel-update pear.php.net

pear install Mail

pear install Mail_Mime

pear install Image_Canvas-0.3.2

pear install Image_Graph-0.7.2

gedit /etc/php5/apache2/php.ini

#Tìm dòng error_reporting và đổi thành :

error_reporting = E_ALL & ~E_NOTICE hay không

#Tìm “Dynamic Extensions” Thêm dòng này vào bên trong mục đó :

extension=mysql.so

extension=gd.so

gedit /etc/apache2/apache2.conf

#Tại cuối file,thêm dòng

servername <your servername.domain> (ví dụ localhost)

/etc/init.d/apache2 restart

- Mở trình duyệt, tại thanh địa chỉ, nhập vào địa chỉ :http://localhost/base-1.4.4

• Click “continue”

• Đường dẫn đến thư mục chứa ADOdb là /var/www/adodb

• Database Name=snort, Database Host=localhost, Database User=snort, Database Password=password

• Admin User Name=snort, Password=<password>, Full Name=snort ( đây là tài khoản đăng nhập vào web Có thể đặt ngẫu nhiên)

• Click “Create BASE AG”

Trang 9

Sau khi kết thúc, nếu có lỗi không ghi được file ta copy nội dung, sau đó dùng gedit để tạo file và paste nội dung vừa copy vào

Gedit /var/www/base-1.4.4/base-conf.php Paste và Save

- Test thử hoạt động của snort thêm 1 luật ping vào local.rules

vim /etc/snort/rules/local.rules

thêm vào cuối dòng

alert icmp any any -> any any (msg: "ping goi tin"; sid: 01042014;) Khởi chạy lại barnyard2 thì sẽ được như sau khi dùng 1 máy khác ping đến snort

Ngày đăng: 03/07/2014, 16:15

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w