Intrusion Detection With BASE And Snort - Seite 3

Installation

Lass uns mit: LIBPCAP beginnen.
Stelle sicher, dass du im Verzeichnis bist, in das du alle Dateien heruntergeladen hast.

cd /root/snorttemp

Wechsle in das libcap-Verzeichnis:

cd libpcap-0.9.4

und mache / installiere LIBPCAP:

./configure
make
make install

Als nächstes ist PCRE dran.
Wieder, stelle sicher, dass du im Verzeichnis bist, in das du alle Dateien heruntergeladen hast.

cd /root/snorttemp

Wechsle in das PCRE-Verzeichnis:

cd pcre-6.3

und mache / installiere pce-6.3

./configure
make
make install

Jetzt ist es Zeit für Snort:
Stelle sicher, dass du im Verzeichnis bist, in das du alle Dateien heruntergeladen hast.

cd /root/snorttemp

Wechsle in das snort-Verzeichnis:

cd snort-2.6.0

und mache / installiere Snort mit einigen zusätzlichen benötigten Optionen!

./configure –enable-dynamicplugin –with-mysql
make
make install

Snort benötigt einige Verzeichnisse, also lass uns diese erstellen:

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort

Bewege die Snort-Dateien vom Installationsverzeichnis in die gerade erstellten Verzeichnisse.
Stelle sicher, dass du im Verzeichnis bist, in das du alle Dateien heruntergeladen hast.

cd /root/snorttemp

und wechsle in snort-2.6.0:

cd snort-2.6.0

und in die Regeln

cd rules

jetzt kopieren wir alle Dateien von den

/rules

in

/etc/snort/rules

cp * /etc/snort/rules

Wir werden dasselbe für die Dateien im Installationsverzeichnis

/etc

machen:

cd ../etc
cp * /etc/snort

Anpassung der snort.conf

Die /etc/snort/snort.conf benötigt einige Anpassungen, damit sie auf deinem System funktioniert!
Also wechsle in /etc/snort:

cd /etc/snort

und öffne snort.conf mit nano (oder einem anderen ‘Text’-Editor)

nano snort.conf

Ändere “var HOME_NET any” in “var HOME_NET 192.168.0.5/32 “
Ändere “var EXTERNAL_NET any” in “var EXTERNAL_NET !$HOME_NET “
Ändere “var RULE_PATH ../rules” in “var RULE_PATH /etc/snort/rules “

Da wir Snort mit der Option ‘–with-mysql’ erstellt haben und BASE dies benötigt, müssen wir Snort auch mitteilen, welche Datenbank verwendet werden soll.
Scrolle nach unten, bis du “ # output database “ siehst, und entferne das # vor der Zeile für MySQL.
Ändere jetzt auch den “ user “, “ password “ und “ dbname “. Notiere dir dies, da du es später benötigen wirst!
Speichere die Datei und schließe ‘nano’

Einrichten der MySQL-Datenbank für Snort.

Es gibt viele Möglichkeiten, die Snort-Datenbank zu erstellen.
Das Tabellenlayout findest du in der Datei create_mysql im Verzeichnis /root/snorttemp/snort-2.6.0/schemas.
Egal, auf welche Weise du die Datenbank erstellst, stelle sicher, dass der ‘user’, ‘password’ und ‘dbname’ die gleichen sind wie die, die du in der /etc/snort/snort.conf-Datei festgelegt hast!

Nach der Erstellung kannst du Snort testen und sehen, ob du Fehler erhältst mit:

snort -c /etc/snort/snort.conf

Beende den Test mit Ctrl+C

Wenn du keine Fehler erhältst, ist Snort korrekt eingerichtet.

Verschieben von ADOdb und BASE

Verschieben von ADOdb:
Wechsle zurück in das Download-Verzeichnis

cd /root/snorttemp/

und verschiebe adodb in das Stammverzeichnis der www-Mappe:

mv adodb /var/www

Als nächstes: BASE (Basic Analysis and Security Engine)
Immer noch im Download-Verzeichnis, verschieben wir das Basisverzeichnis in das erste Website-Verzeichnis, das du mit ISPconfig erstellt hast.

mv base-1.2.5 /var/www/www.example.com/web

und wechsle in /var/www/www.example.com/web

cd /var/www/www.example.com/web

Um BASE zu ermöglichen, die Setup-Datei zu schreiben, müssen wir den Ordner base-1.2.5 auf 757 setzen:

chmod 757 base-1.2.5