Détection d'intrusion avec BASE et Snort - Page 3

Installation

Commençons par : LIBPCAP.
Assurez-vous que vous êtes dans le répertoire où vous avez téléchargé tous les fichiers.

cd /root/snorttemp

Accédez au répertoire libcap :

cd libpcap-0.9.4

et faites / installez LIBPCAP :

./configure
make
make install

Ensuite, c’est au tour de PCRE.
Encore une fois, assurez-vous que vous êtes dans le répertoire où vous avez téléchargé tous les fichiers.

cd /root/snorttemp

Accédez au répertoire PCRE :

cd pcre-6.3

et faites / installez pce-6.3

./configure
make
make install

Il est maintenant temps pour Snort :
Assurez-vous que vous êtes dans le répertoire où vous avez téléchargé tous les fichiers.

cd /root/snorttemp

Accédez au répertoire snort :

cd snort-2.6.0

et faites / installez Snort avec quelques options supplémentaires nécessaires !

./configure –enable-dynamicplugin –with-mysql
make
make install

Snort a besoin de quelques répertoires, alors créons-les :

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort

Déplacez les fichiers Snort du répertoire d’installation vers les répertoires nouvellement créés.
Assurez-vous que vous êtes dans le répertoire où vous avez téléchargé tous les fichiers.

cd /root/snorttemp

et accédez à snort-2.6.0 :

cd snort-2.6.0

et dans les règles

cd rules

maintenant nous copions tous les fichiers de la

/rules

vers

/etc/snort/rules

cp * /etc/snort/rules

Nous ferons de même pour les fichiers dans le répertoire d’installation

/etc

:

cd ../etc
cp * /etc/snort

Correction du snort.conf

Le /etc/snort/snort.conf nécessite quelques ajustements pour fonctionner sur votre système !
Alors accédez à /etc/snort :

cd /etc/snort

et ouvrez snort.conf avec nano (ou tout autre éditeur de texte)

nano snort.conf

changez “var HOME_NET any” en “var HOME_NET 192.168.0.5/32 “
changez “var EXTERNAL_NET any” en “var EXTERNAL_NET !$HOME_NET “
changez “var RULE_PATH ../rules” en “var RULE_PATH /etc/snort/rules “

Comme nous avons compilé Snort avec l’option ‘–with-mysql’ et que BASE en a besoin, nous devons également indiquer à Snort quelle base de données utiliser.
Faites défiler vers le bas jusqu’à ce que vous voyiez “ # output database “, et supprimez le # devant la ligne pour MySQL.
Maintenant, changez également le “ user “, “ password “ et “ dbname “. Prenez note de cela car vous en aurez besoin plus tard !
Enregistrez le fichier et fermez ‘nano’

Configuration de la base de données MySQL pour Snort.

Il existe plusieurs façons de créer la base de données snort.
La structure des tables peut être trouvée dans le fichier create_mysql dans le répertoire /root/snorttemp/snort-2.6.0/schemas.
Quelle que soit la méthode que vous utilisez pour créer la base de données, assurez-vous que le ‘user’, ‘password’ et ‘dbname’ sont les mêmes que ceux que vous avez définis dans le fichier /etc/snort/snort.conf !

Après la création, vous pouvez tester Snort et voir si vous obtenez des erreurs avec :

snort -c /etc/snort/snort.conf

Quittez le test avec Ctrl+C

Si vous n’obtenez pas d’erreurs, Snort est correctement configuré.

Déplacement d’ADOdb et de BASE

Déplacement d’ADOdb :
retournez dans le répertoire de téléchargement

cd /root/snorttemp/

et déplacez adodb à la racine du répertoire www :

mv adodb /var/www

Ensuite : BASE (Basic Analysis and Security Engine)
Toujours dans le répertoire de téléchargement, nous déplaçons le répertoire base dans le premier répertoire de site Web que vous avez créé avec ISPconfig.

mv base-1.2.5 /var/www/www.example.com/web

et accédez à /var/www/www.example.com/web

cd /var/www/www.example.com/web

Pour permettre à BASE d’écrire le fichier de configuration, nous devons changer les permissions du dossier base-1.2.5 à 757 :

chmod 757 base-1.2.5