침입 탐지: Snort (IDS), OSSEC (HbIDS) 및 Prelude (HIDS) 우분투 구찌 기븐 - 2페이지

Prewikka 설치

Prewikka는 Prelude의 그래픽 프론트엔드로, 웹 서버를 사용합니다.

설치

Prewikka는 두 개의 데이터베이스가 필요합니다: 하나는 Prelude 경고를 가져오기 위한 것이고(이전과 동일하게 구성됨), 다른 하나는 자신의 데이터를 저장하기 위한 것입니다(프레윅카). 실제로, 우분투 패키지는 prewikka 데이터베이스만 생성하고 Prelude 경고에 대한 접근을 구성하지 않으므로, 경고 설치는 수동으로 수행해야 합니다.

Prewikka 설치

apt-get install prewikka

패키지는 필요한 종속성(python 등)을 설치하고 데이터베이스 구성을 요청합니다. Prelude의 경우, dbconfig-common을 사용하기로 선택하고 관리자 비밀번호를 입력한 후 DB 비밀번호를 위해 Enter를 눌러 dbconfig-common이 비밀번호를 생성하도록 합니다.

Prelude-Manager 접근 구성

prelude-manager 구성 파일 /etc/prelude-manager/prelude-manager.conf에서 비밀번호를 가져오고 prewikka 구성 파일 /etc/prewikka/prewikka.conf를 편집합니다:

vi /etc/prewikka/prewikka.conf

[idmef_database]
type: mysql
host: localhost
user: prelude
pass: **********
name: prelude

[database] 섹션은 dbconfig-common에 의해 자동으로 구성되므로 수정하지 마십시오.

웹 서버 구성:

구성은 파일 /usr/share/doc/prewikka/README.Debian에 설명되어 있습니다. 다음 3가지 구성 중에서 선택할 수 있습니다:

• Apache / CGI 설정과 VirtualHost
• Apache / mod_python 설정과 VirtualHost
• 명령줄 도구에서 Prewikka

예를 들어 mod_python 설정을 사용할 것입니다.

apt-get install libapache2-mod-python

다음 내용을 사용하여 apache 구성에 VirtualServer를 추가합니다:

NameVirtualHost *  
  
        ServerAdmin [email protected]  
          
                SetHandler mod_python  
                PythonHandler prewikka.ModPythonHandler  
                PythonOption PrewikkaConfig /etc/prewikka/prewikka.conf  
          
  
          
                SetHandler None  
          
  
        Alias /prewikka /usr/share/prewikka/htdocs  
        Alias /htdocs /usr/share/prewikka/htdocs  

apache 웹 서버를 재시작하고 prewikka 인터페이스에 로그인할 수 있습니다.

참고: 물론 apache에 대해 다음과 같은 설정을 항상 사용할 수 있습니다:

NameVirtualHost xxx.xxx.xxx.xxx:80

이것은 apache 서버에서 다른 서비스가 실행 중일 때 유용합니다.

2부: Snort 설치 및 구성

이것에 대한 전체 방법서는 작성하지 않겠습니다. Snort에 대한 방법서가 있습니다: 침입 탐지: Snort, Base, MySQL 및 Apache2 우분투 7.10 (구찌 기븐) (업데이트됨).

여기서는 snort가 prelude에 로깅되도록 하는 데 필요한 단계를 설명하겠습니다. 이 설정에서는 mysql 데이터베이스와 기본 웹 인터페이스를 설치할 필요가 없으며, snort가 prelude에 로깅되고 prewikka 인터페이스를 사용하여 snort 경고를 볼 수 있습니다.

위의 방법서에 설명된 모든 단계를 따르고 아래 항목을 새 항목으로 교체하십시오:

교체

./configure -enable-dynamicplugin --with-mysql  
make  
make install

다음으로

./configure -enable-dynamicplugin --eanble-prelude  
make  
make install

다음과 같이 하십시오:

리스트를 아래로 스크롤하여 “ # output database: log, mysql, user= “ 섹션으로 이동하고 이 줄 앞의 “ # “를 제거합니다.
“ user=root “를 “ user=snort “로 변경하고, “ password=password “를 “ password=snort_password “로 변경하며, “ dbname=snort “로 변경합니다.
사용자 이름, 비밀번호 및 데이터베이스 이름을 기록해 두십시오. Mysql 데이터베이스를 설정할 때 이 정보가 필요합니다.
저장하고 종료합니다.

다음과 같이 하십시오:

리스트를 아래로 스크롤하여 “# output alert_prelude: profile=snort “ 섹션으로 이동하고 이 줄 앞의 “#”를 제거합니다.

5단계부터 ( 5. Mysql 데이터베이스 설정.) 모든 것을 건너뛸 수 있습니다.

이제 prelude manager에 snort 에이전트를 등록해야 합니다:

prelude-adduser register snort "idmef:w"  --uid snort --gid snort

prelude manager 서버에서:

prelude-adduser registration-server prelude-manager

이렇게 하면 snort 에이전트가 위에서 prelude-lml에 대해 했던 것처럼 prelude manager에 등록됩니다.

등록 프로세스가 완료되면 다음을 실행합니다:

snort -c /etc/snort/snort.conf

모든 것이 올바르게 진행되면 다음과 같은 메시지가 표시됩니다:

Initializing Network Interface eth0
Decoding Ethernet on interface eth0

• Connecting to 127.0.0.1:4690 prelude Manager server.
• TLS authentication succeed with Prelude Manager.

eth0 항목은 지정한 이더넷 어댑터에 따라 다릅니다. 중요한 것은 snort가 prelude manager 서버에 연결되고 tls 인증이 성공했음을 확인하는 것입니다.

에이전트가 연결되고 prewikka의 에이전트 목록에서 snort를 볼 수 있다면, 프로세스를 ctrl-c로 중지하고 다음을 입력하십시오:

snort -c /snort/snort.conf -D

snort를 데몬으로 시작합니다. 위의 줄에서 -i ethX를 추가하여 모든 네트워크 인터페이스에서 수신하지 않고 특정 인터페이스를 지정할 수 있습니다.