Sicherheit · 2 min read · Oct 15, 2025

Eindringungserkennung mit BASE und Snort

Eindringungserkennung mit BASE und Snort

Dieses Tutorial zeigt, wie man BASE (Basic Analysis and Security Engine) und das Snort-Eindringungserkennungssystem (IDS) auf einem Debian Sarge-System installiert und konfiguriert. BASE bietet eine Web-Oberfläche, um die Warnungen, die von einem Snort-IDS-System kommen, abzufragen und zu analysieren. Mit BASE können Sie Analysen von Eindringlingen durchführen, die Snort in Ihrem Netzwerk erkannt hat.

Szenario: Ein Linux-Server, der Debian Sarge 3.1 ausführt, eingerichtet nach Falkos - The Perfect Setup - Debian Sarge (3.1).
Angenommen, wir haben eine funktionierende Website ( www.example.com) und das Dokumentenverzeichnis ist: /var/www/www.example.com/web
Die IP des Servers ist 192.168.0.5 und er verwendet eth0 als Netzwerk-Schnittstellennamen.

Benötigte Programme und Dateien

  • Snort
  • Snort-Regeln
  • PCRE (Perl Compatible Regular Expressions)
  • LIBPCAP
  • BASE (Basic Analysis and Security Engine)
  • ADOdb (ADOdb-Datenbankabstraktionsbibliothek für PHP (und Python).)

Herunterladen und Entpacken

Wir benötigen einen temporären Ort für alle Dateien, die wir herunterladen und entpacken werden.
Um es einfach zu halten, erstellen wir ein Verzeichnis im /root mit dem Namen snorttemp. (Es ist offensichtlich, dass dieses Download-Verzeichnis jeden Namen und jeden Ort haben kann)

cd /root
mkdir snorttemp
cd snorttemp

Jetzt müssen Sie Snort herunterladen.
Die neueste Version zum Zeitpunkt des Schreibens ist 2.6.0

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

Wenn der Download abgeschlossen ist, entpacken Sie die Datei:

tar -xvzf snort-2.6.0.tar.gz

Und lassen Sie uns die Tar-Datei entfernen:

rm snort-2.6.0.tar.gz

Wir benötigen auch die Snort-Regeln!
Gehen Sie zu: http://www.snort.org/pub-bin/downloads.cgi und scrollen Sie nach unten, bis Sie die “Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)” Regeln sehen
(Wenn Sie Mitglied des Forums sind, können Sie auch die - registrierte Benutzerfreigabe herunterladen):

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

Bewegen Sie die snortrules-pr-2.4.tar.gz in das snort-2.6.0-Verzeichnis:

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

und cd in snort-2.6.0:

cd snort-2.6.0

Entpacken Sie die snortrules-pr-2.4.tar.gz-Datei:

tar -xvzf snortrules-pr-2.4.tar.gz

Entfernen Sie die Tar-Datei:

rm snortrules-pr-2.4.tar.gz

Wir sind mit dem Herunterladen der benötigten Dateien, um Snort zum Laufen zu bringen, fertig.

Um Snort mit BASE zum Laufen zu bringen, benötigen wir mehr!

PCRE - Perl Compatible Regular Expressions.

Gehen Sie zu: http://www.pcre.org/ und wählen Sie einen Download-Link für die pcre-6.3tar.gz-Datei, um PCRE herunterzuladen (zum Zeitpunkt des Schreibens ist es pcre-6.3.tar.gz)
cd zurück in das snorttemp-Verzeichnis:

cd /root/snorttemp

und laden Sie die pcre-6.3.tar.gz-Datei herunter:

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

Entpacken Sie die Datei:

tar -xvzf pcre-6.3.tar.gz

Entfernen Sie die Tar:

rm pcre-6.3.tar.gz
Share: X/Twitter LinkedIn
#Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.