Einbruchserkennung: Snort, Base, MySQL und Apache2 auf Ubuntu 7.10 (Gutsy Gibbon) (Aktualisiert)

Dieses Tutorial basiert auf einem anderen Howto, das von DevilMan geschrieben wurde, jedoch mochte ich die Idee nicht, jedes Paket manuell zu kompilieren oder eine GUI zu verwenden, um die Software zu installieren. Dieses Howto funktioniert auf einem Gutsy Server oder Gutsy Desktop. Damit gesagt, ist ein Teil dieses Howtos eine direkte Kopie des Originals.

In diesem Tutorial werde ich beschreiben, wie man Snort (ein Intrusion Detection System (IDS)) aus dem Quellcode, BASE (Basic Analysis and Security Engine), MySQL und Apache2 auf Ubuntu 7.10 (Gutsy Gibbon) installiert und konfiguriert. Snort wird Ihnen helfen, Ihr Netzwerk zu überwachen und Sie über mögliche Bedrohungen zu informieren. Snort wird seine Protokolldateien in eine MySQL-Datenbank ausgeben, die BASE verwenden wird, um eine grafische Benutzeroberfläche in einem Webbrowser anzuzeigen.

1. Root-Rechte erlangen

Es ist am einfachsten, diese Installation als Root-Benutzer durchzuführen.

sudo su -

2. Einige Pakete installieren

Die folgenden Befehle installieren alle erforderlichen Pakete, um dieses Setup zum Laufen zu bringen:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev

3. Snort herunterladen und kompilieren

Das Snort-Paket in den Gutsy-Repos ist veraltet. Daher bevorzuge ich es, die aktuellste Version herunterzuladen und zu installieren. Dies ist das einzige, was wir von Grund auf kompilieren werden.

Die neueste Version von Snort zum Zeitpunkt des Schreibens ist 2.8.0.1

Zuerst gehen wir in ein Arbeitsverzeichnis:

cd /usr/src/

Öffnen Sie einen Webbrowser und navigieren Sie zu http://www.snort.org/dl, klicken Sie mit der rechten Maustaste auf die neueste Version und kopieren Sie den Link.

a. Snort und Snort-Regeln herunterladen

wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz

Es gibt einige Optionen für Regeln. Die folgenden Befehle laden die öffentlichen Regeln herunter, jedoch können Sie mit einer schnellen Registrierung auf der Snort-Website aktuellere Regeln erhalten. Ihre Wahl, aber der nächste Befehl wird auf die gleiche Weise mit der entsprechenden URL ausgeführt:

wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

b. Entpacken und für die Kompilierung vorbereiten

tar zxvf snort-2.8.0.1.tar.gz  
cd snort-2.8.0.1  
tar zxvf ../snortrules-pr-2.4.tar.gz

c. Jetzt kompilieren

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Halten Sie dieses Verzeichnis bereit, da Sie einfach ausführen können:

make uninstall

Um Snort später zu deinstallieren, falls Sie dies wünschen.

d. Dinge an die richtige Stelle verschieben

Wir müssen jetzt die Regeln und die Konfiguration für Snort an die richtige Stelle verschieben:

mkdir /etc/snort /etc/snort/rules /var/log/snort  
cd /usr/src/snort-2.8.0.1/etc  
cp * /etc/snort/  
cd ../rules  
cp * /etc/snort/rules

4. Snort konfigurieren

Wir müssen die snort.conf-Datei an unsere Bedürfnisse anpassen.

Öffnen Sie /etc/snort/snort.conf mit Ihrem bevorzugten Texteditor (nano, vi, vim usw.).

# vi /etc/snort/snort.conf

Ändern Sie “ var HOME_NET any “ in “ var HOME_NET 192.168.1.0/24 “ (Ihr Heimnetzwerk kann von 192.168.1.0 abweichen)
Ändern Sie “ var EXTERNAL_NET any “ in “ var EXTERNAL_NET !$HOME_NET “ (das besagt, dass alles außer HOME_NET extern ist)
Ändern Sie “ var RULE_PATE ../rules “ in “ var RULE_PATH /etc/snort/rules “

Scrollen Sie nach unten zur Sektion mit “ # output database: log, mysql, user= “, entfernen Sie das “ # “ vor dieser Zeile.
Ändern Sie “ user=root “ in “ user=snort “, ändern Sie “ password=password “ in “ password=snort_password “, “ dbname=snort “
Notieren Sie sich den Benutzernamen, das Passwort und den Datenbanknamen. Diese Informationen benötigen Sie, wenn wir die MySQL-Datenbank einrichten.
Speichern und beenden.

Ändern Sie die Berechtigungen der Konfigurationsdatei, um die Sicherheit zu gewährleisten (danke rojo):

# chmod 600 /etc/snort/snort.conf

5. Die MySQL-Datenbank einrichten.

Melden Sie sich am MySQL-Server an.

# mysql -u root -p

Erstellen Sie die Snort-Datenbank. Stellen Sie sicher, dass Sie das ‘snort_password’ in etwas anderes ändern!

mysql> create database snort;  
grant all privileges on snort.* to 'snort'@'localhost' identified by 'snort_password'; mysql> exit

Wir werden das Snort-Schema für das Layout der Datenbank verwenden.

# mysql -D snort -u snort -p < /usr/src/snort-2.8.0.1/schemas/create_mysql

HINWEIS: Verwenden Sie Ihr Snort DB-Benutzerpasswort, wenn Sie dazu aufgefordert werden.

6. Zeit, Snort zu testen

Geben Sie im Terminal ein:

# snort -c /etc/snort/snort.conf

Wenn alles gut gelaufen ist, sollten Sie ein ASCII-Schwein sehen.

Um den Test zu beenden, drücken Sie Strg + C.

HINWEIS: Wenn Sie Fehler erhalten, möchten Sie möglicherweise versuchen, die Zeilen 97, 98 und 452 von /etc/snort/rules/web-misc.rules auszukommentieren. Dies war in der Vergangenheit ein Problem, scheint aber nicht mehr so zu sein.

7. BASE herunterladen und installieren

Öffnen Sie einen Webbrowser und gehen Sie zu http://sourceforge.net/project/showfiles.php?group_id=103348.

Klicken Sie auf Download, klicken Sie dann mit der rechten Maustaste auf das neueste tar.gz-Paket und wählen Sie Link kopieren (zum Zeitpunkt des Schreibens ist dies base-1.3.9).

Geben Sie im Terminal ein:

cd  
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz

Gehen Sie jetzt zu Ihrem Web-Dokumentenstamm (standardmäßig ist dies /var/www), entpacken Sie das Tarball und setzen Sie die erforderlichen Berechtigungen, um BASE zu konfigurieren:

cd /var/www/  
tar zxvf ~/base-1.3.9.tar.gz  
cd ..  
chmod 757 base-1.3.9

Wir möchten sicherstellen, dass einige Pear-Module aktiviert sind:

pear install Image_Color  
pear install Image_Canvas-alpha  
pear install Image_Graph-alpha

8. BASE einrichten

Öffnen Sie einen Webbrowser und navigieren Sie zu http://YOUR.IP.ADDRESS/base-1.3.9/setup.

Klicken Sie auf Weiter auf der ersten Seite.

Schritt 1 von 5: Geben Sie den Pfad zu ADODB ein.
Dies ist /usr/share/php/adodb.
Schritt 2 von 5:
Datenbanktyp = MySQL, Datenbankname = snort, Datenbank-Host = localhost, Datenbankbenutzername = snort, Datenbankpasswort = snort_password
Schritt 3 von 5: Wenn Sie eine Authentifizierung verwenden möchten, geben Sie hier einen Benutzernamen und ein Passwort ein und aktivieren Sie das Kontrollkästchen.
Schritt 4 von 5: Klicken Sie auf BASE AG erstellen.
Schritt 5 von 5: Sobald Schritt 4 abgeschlossen ist, klicken Sie unten auf Jetzt zu Schritt 5 fortfahren.

Legen Sie ein Lesezeichen für diese Seite an.

Ändern Sie die Berechtigungen zurück im /var/www/base-1.3.9-Ordner.

# chmod 755 /var/www/base-1.3.9

Wir sind fertig. Herzlichen Glückwunsch!!!

Um Snort im Terminal zu starten, geben Sie ein (stellen Sie sicher, dass Sie eth0 durch die richtige Schnittstelle für Ihre Maschine ersetzen):

# snort -c /etc/snort/snort.conf -i eth0 -D

Dies startet Snort mit der eth0-Schnittstelle im Daemon-Modus. Sie können dies zu Ihrer /etc/rc.local-Datei hinzufügen, damit es nach einem Neustart gestartet wird.

Um sicherzustellen, dass es läuft, können Sie den folgenden Befehl überprüfen:

# ps aux | grep snort

Wenn es läuft, sehen Sie einen Eintrag ähnlich wie snort -c /etc/snort/snort.conf -i eth0 -D.

Wenn Sie lernen möchten, wie man eigene Snort-Regeln schreibt, gibt es einen Leitfaden unter http://www.snort.org/docs/snort_manual/node16.html.
Viel Glück.