Einbruchserkennung: Snort (IDS), OSSEC (HbIDS) und Prelude (HIDS) auf Ubuntu Gutsy Gibbon - Seite 2

Installieren von Prewikka

Prewikka ist das grafische Frontend zu Prelude, das einen Webserver verwendet.

Installation

Prewikka benötigt zwei Datenbanken: eine, um die Prelude-Alerts zu erhalten (die dieselbe ist wie zuvor konfiguriert), und eine, um die eigenen Daten zu speichern (prewikka). Tatsächlich erstellt das Ubuntu-Paket nur die prewikka-Datenbank und konfiguriert keinen Zugriff auf die Prelude-Alerts, sodass die Installation der Alerts manuell erfolgen muss.

Installieren von Prewikka

apt-get install prewikka

Das Paket installiert die erforderlichen Abhängigkeiten (Python, z. B.) und fragt nach der Datenbankkonfiguration. Wie bei Prelude wählen wir dbconfig-common, geben das Administratorkennwort ein und drücken die Eingabetaste für das DB-Passwort, damit dbconfig-common eines für uns generiert.

Konfigurieren des Prelude-Managers

Holen Sie das Passwort aus der Konfigurationsdatei des Prelude-Managers /etc/prelude-manager/prelude-manager.conf und bearbeiten Sie die Konfigurationsdatei von Prewikka /etc/prewikka/prewikka.conf:

vi /etc/prewikka/prewikka.conf

[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

Der Abschnitt [database] wird automatisch von dbconfig-common konfiguriert, daher sollten Sie ihn nicht ändern.

Webserver-Konfiguration:

Die Konfiguration wird in der Datei /usr/share/doc/prewikka/README.Debian erklärt. Sie können zwischen 3 Konfigurationen wählen:

• Apache / CGI-Setup mit VirtualHost
• Apache / mod_python-Setup mit VirtualHost
• Prewikka über das Befehlszeilenwerkzeug

Als Beispiel verwende ich das mod_python-Setup.

apt-get install libapache2-mod-python

Fügen Sie Ihrer Apache-Konfiguration einen VirtualServer mit folgendem Inhalt hinzu:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs  

Starten Sie Ihren Apache-Webserver neu und Sie können sich in die Prewikka-Oberfläche einloggen.

Hinweis: Sie können natürlich immer eine Einstellung für Apache wie:

NameVirtualHost xxx.xxx.xxx.xxx:80

verwenden. Dies ist nützlich, wenn Sie andere Dienste auf Ihrem Apache-Server ausführen.

Teil 2: Installation und Konfiguration von Snort

Ich werde nicht die vollständige Anleitung dafür schreiben, da es eine Anleitung für Snort gibt: Einbruchserkennung: Snort, Base, MySQL und Apache2 auf Ubuntu 7.10 (Gutsy Gibbon) (Aktualisiert).

Ich werde hier die Schritte beschreiben, die erforderlich sind, um snort in prelude zu protokollieren. In diesem Setup müssen Sie auch keine mysql-Datenbank und die Basis-Weboberfläche installieren, da snort in prelude protokolliert und Sie die prewikka-Oberfläche verwenden können, um die snort-Alerts zu sehen.

Befolgen Sie alle Schritte, die in der obigen Anleitung beschrieben sind, und ersetzen Sie den Eintrag unten durch den neuen:

Ersetzen

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Durch

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

Anstatt:

Scrollen Sie nach unten zur Sektion mit “ # output database: log, mysql, user= “, entfernen Sie das “ # “ vor dieser Zeile.
Ändern Sie “ user=root “ in “ user=snort “, ändern Sie “ password=password “ in “ password=snort_password “, “ dbname=snort “
Notieren Sie sich den Benutzernamen, das Passwort und den Datenbanknamen. Diese Informationen benötigen Sie, wenn wir die Mysql-Datenbank einrichten.
Speichern und beenden.

Tun Sie:

Scrollen Sie nach unten zur Sektion mit “# output alert_prelude: profile=snort “, entfernen Sie das “#” vor dieser Zeile und das war’s.

Ab Schritt 5 ( 5. Richten Sie die Mysql-Datenbank ein.) kann alles übersprungen werden.

Jetzt müssen wir den Snort-Agenten beim Prelude-Manager registrieren:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

Auf dem Prelude-Manager-Server:

prelude-adduser registration-server prelude-manager

Dies registriert den Snort-Agenten beim Prelude-Manager, wie Sie es zuvor für den Prelude-LML getan haben.

Sobald der Registrierungsprozess abgeschlossen ist, führen Sie aus:

snort -c /etc/snort/snort.conf

Wenn alles gut geht, sehen Sie:

Initialisiere Netzwerkschnittstelle eth0
Dekodierung von Ethernet an der Schnittstelle eth0

• Verbindung zu 127.0.0.1:4690 Prelude-Manager-Server.
• TLS-Authentifizierung erfolgreich mit Prelude-Manager.

Der Eintrag eth0 hängt von dem Ethernet-Adapter ab, den Sie angegeben haben. Wichtig ist, dass Sie sehen, dass Snort eine Verbindung zum Prelude-Manager-Server herstellt und die TLS-Authentifizierung erfolgreich war.

Wenn der Agent verbunden ist und Sie snort in der Agentenliste von prewikka sehen, können Sie den Prozess mit ctrl-c stoppen und ausführen:

snort -c /snort/snort.conf -D

um snort als Daemon zu starten. In der obigen Zeile können Sie immer -i ethX hinzufügen, wenn Sie nicht auf allen Netzwerkschnittstellen lauschen und eine bestimmte Schnittstelle angeben möchten.