Tải bản đầy đủ (.docx) (9 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Hướng dẫn chi tiết cài đặt và cấu hình snort (ai cũng làm theo được)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (510.92 KB, 9 trang )

Guide install + test snort trên ubuntu
1. Cấu hình cài đặt thử nghiệm:
• Snort 2.9.6.0
• Snort rule 2960
• Hệ điều hành Ubuntu 12.04
2. Các gói cần thiết phải có trước khi cài đặt snort.
Đầu tiên kiểm tra xem hệ thống ping được ra ngoài mạng không
sudo ping 8.8.8.8
Sau đó đặt ip tĩnh cho hệ thống:
sudo vim /etc/network/interfaces
Giải sử đặt địa chỉ tĩnh như sau:
• auto eth0
• iface eth0 inet static
• address 192.168.1.101
• netmask 255.255.255.0
• gateway 192.168.1.1
Sudo /etc/init.d/networking restart
Tiếp theo phải update source.list đảm bảo link tải các gói còn hoạt động:
sudo aptitude update
Tiến hành cài các gói với câu lệnh :
sudo aptitude install <tên gói>
• Apache2
• php5
• php5-gd
• php5-mysql
• php-pear
• mysql-client-5.5
• mysql-server-5.5 (chú ý khi cài đặt gói này phải đặt mật khẩu cho mysql)
• libpcap0.8-dev
• libmysqlclient-dev (tạo thư viện cho banyard 2)
• g++


• make
• libtool
• libdnet-dev (cài đặt theo cấu hình mặc định)
• libpcre3-dev
• flex
• byacc
• bison
• linux-headers-generic
• autoconf (tạo file configure trong quá trình cài đặt banyard 2 )
Download các phần mềm bổ trợ, ở đây download tất cả vào /root/download
mkdir /root/download
sudo wget
sudo tar xvfz 2778 (giải nén dap)
sudo wget />sudo tar xvfz 2787 (giải nén snort)
sudo wget http:// libdnet.googlecode.com/files/libdnet-1.12.tgz
tar xvfz libdnet-1.12.tgz
3. Cài đặt snort
- Đầu tiên cài dap 2.0.2:
cd /root/download/daq-2.0.2
./configure && make && make install
- Cài đặt libdnet
cd /root/download/libdnet-1.12/
./configure && make && make install
ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1
- Cài snort:
cd /root/download/snort-2.9.6.0
./configure prefix=/etc/snort enable-sourcefire && make && make install
# prefix: đưa toàn bộ file cài snort vào thư mục /etc/snort. Sau đó tạo môi trường cho snort hoạt động
mkdir /var/log/snort
groupadd snort

useradd -g snort snort
chown snort:snort /var/log/snort
- Download rules (download tại trang chủ: />tar xfzv snortrules-snapshot-2960.tar.gz -C /etc/snort/
mkdir /etc/snort/lib/snort_dynamicrules
cp /etc/snort/so_rules/precompiled/Ubuntu-12.04/i386/2.9.6.0/* /etc/snort/lib/snort_dynamicrules
touch /etc/snort/rules/white_list.rules
touch /etc/snort/rules/black_list.rules
ldconfig
- Cấu hình snort : chỉnh sửa file snort.conf
Edit snort.conf
vim /etc/snort/etc/snort.conf
#Edit
RULE_PATH > /etc/snort/rules
SO_RULE PATH > /etc/snort/rules
PREPROC_RULE_PATH > /etc/snort/rules
WHITELIST, BLACKLIST > /etc/snort/rules
# thay đổi đường dẫn
dynamicpreprocessor directory /etc/snort/lib/snort_dynamicpreprocessor/
dynamicengine /etc/snort/lib/snort_dynamicengine/libsf_engine.so
dynamicdetection directory /etc/snort/lib/snort_dynamicrules
# thêm dòng (nếu sử dụng banyard2 để import log vào cơ sở dữ liệu)
output unified2: filename snort.u2, limit 128
#Uncomment các luật trong dynamic library rules
- Kiểm tra snort đã hoạt động hay chưa:
/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf
4. Cài đặt barnyard2 , mysql, base
- Cài đặt barnyard2
cd /root/download
wget -O barnyard2-2.10.tar.gz

tar xvfz barnyard2-2.10.tar.gz
cd firnsy-barnyard2-272eaf7
autoreconf -fvi -I ./m4
./autogen.sh
./configure with-mysql with-mysql-libraries=/usr/lib/i386-linux-gnu
make && make install
cp etc/barnyard2.conf /etc/snort/etc (etc/barnyard2.conf nam trong cung thu muc cai dat
mkdir /var/log/barnyard2
chmod 666 /var/log/barnyard2
touch /var/log/snort/barnyard2.waldo
chown snort.snort /var/log/snort/barnyard2.waldo
- Tạo database sử dụng cho snort
mysql -p
create database snort;
grant create, insert, select, delete, update on snort.* to snort@localhost;
set password for snort@localhost=password('123456');
exit
# chèn schemas cho database snort (lưu ý schemas nằm trong thư mục gói cài barnyard2)
mysql -p < schemas/create_mysql snort
- Kiểm tra lại xem đã cấu hình thành công chưa
mysql –p
< nhập DB root password >
show tables;
#Xuất hiện 4 hàng dữ liệu ( row )
use snort;
show tables;
#Xuất hiện 16 hàng dữ liệu ( row )
- Chỉnh sửa file cấu hình barnyard2
vim /etc/snort/etc/barnyard2.conf
#Edit

/etc/snort/etc/barnyard2.conf
config reference_file: /etc/snort/etc/reference.config
config classification_file: /etc/snort/etc/classification.config
config gen_file: /etc/snort/etc/gen-msg.map
config sid_file: /etc/snort/etc/sid-msg.map
config hostname: localhost
config interface: eth0
output database: log, mysql, user=snort password=yourpassword dbname=your database host=localhost
- Khởi động banyard2:
#khởi động snort trước :
/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf -i eth0
#Mở 1 tab khác và khởi động banyard
/usr/local/bin/barnyard2 -c /etc/snort/etc/barnyard2.conf -d /var/log/snort/ -f snort.u2 -w
/var/log/snort/barnyard2.waldo
- Cấu hình để snort chạy cùng hệ thống
sudo vi /etc/rc.local
#Edit
ifconfig eth0 up
/etc/snort/bin/snort -u snort -g snort -c /etc/snort/etc/snort.conf -i eth0
/usr/local/bin/barnyard2 -c /etc/snort/etc/barnyard2.conf \
-G /etc/snort/etc/gen-msg.map \
-S /etc/snort/etc/sid-msg.map \
-d /var/log/snort \
-f snort.u2 \
-w /var/log/snort/barnyard2.waldo
5. Cài đặt giao diện web adodb , b.a.s.e
- B.A.S.E ( Basic Analysis and Security Engine ) cung cấp giao diện Web cho việc truy vấn và phân tích các cảnh
báo từ Snort. Download B.A.S.E 1.4.4 tại :
/>- ADOdb là 1 tiện ích trừu tượng hóa cơ sở dữ liệu, cho phép nhiều kiểu tương tác giữa PHP và cơ sở dữ liệu.
Download ADOdb 5.10 tại : />- Tải ADOdb và B.A.S.E và giải nén vào /var/www

cd /var/www
# cài đặt ứng dụng cho php
pear channel-update pear.php.net
pear install Mail
pear install Mail_Mime
pear install Image_Canvas-0.3.2
pear install Image_Graph-0.7.2
gedit /etc/php5/apache2/php.ini
#Tìm dòng error_reporting và đổi thành :
error_reporting = E_ALL & ~E_NOTICE hay không
#Tìm “Dynamic Extensions”. Thêm dòng này vào bên trong mục đó :
extension=mysql.so
extension=gd.so
gedit /etc/apache2/apache2.conf
#Tại cuối file,thêm dòng
servername <your servername.domain> (ví dụ localhost)
/etc/init.d/apache2 restart
- Mở trình duyệt, tại thanh địa chỉ, nhập vào địa chỉ :http://localhost/base-1.4.4
• Click “continue”
• Đường dẫn đến thư mục chứa ADOdb là /var/www/adodb
• Database Name=snort, Database Host=localhost, Database User=snort, Database Password=password
• Admin User Name=snort, Password=<password>, Full Name=snort ( đây là tài khoản đăng nhập vào
web. Có thể đặt ngẫu nhiên)
• Click “Create BASE AG”.
Sau khi kết thúc, nếu có lỗi không ghi được file ta copy nội dung, sau đó dùng
gedit để tạo file và paste nội dung vừa copy vào.
Gedit /var/www/base-1.4.4/base-conf.php .Paste và Save
- Test thử hoạt động của snort thêm 1 luật ping vào local.rules
vim /etc/snort/rules/local.rules
thêm vào cuối dòng

alert icmp any any -> any any (msg: "ping goi tin"; sid: 01042014;)
Khởi chạy lại barnyard2 thì sẽ được như sau khi dùng 1 máy khác ping đến snort

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×