Обнаружение вторжений: Snort, Base, MySQL и Apache2 на Ubuntu 7.10 (Gutsy Gibbon) (Обновлено)

Этот учебник основан на другом руководстве, написанном DevilMan, однако мне не понравилась идея вручную компилировать каждый пакет или использовать графический интерфейс для установки программного обеспечения. Этот учебник будет работать на сервере Gutsy или настольном компьютере Gutsy. Сказав это, часть этого руководства является прямой копией оригинала.

В этом учебнике я опишу, как установить и настроить Snort (систему обнаружения вторжений (IDS)) из исходников, BASE (Базовый Анализ и Система Безопасности), MySQL и Apache2 на Ubuntu 7.10 (Gutsy Gibbon). Snort поможет вам контролировать вашу сеть и уведомлять вас о возможных угрозах. Snort будет выводить свои журналы в базу данных MySQL, которую BASE будет использовать для отображения графического интерфейса в веб-браузере.

1. Получите права root

Проще всего выполнить эту установку как пользователь root.

sudo su -

2. Установите некоторые пакеты

Следующее установит все необходимые пакеты, чтобы эта настройка работала:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev

3. Получите и скомпилируйте snort

Пакет Snort в репозиториях Gutsy устарел. Поэтому я предпочел скачать самую актуальную версию и установить ее. Это единственное, что мы будем компилировать с нуля.

Последняя версия snort на момент написания - 2.8.0.1

Сначала давайте перейдем в рабочую директорию:

cd /usr/src/

Откройте веб-браузер и перейдите по адресу http://www.snort.org/dl, щелкните правой кнопкой мыши на самом последнем релизе и скопируйте адрес ссылки.

a. Скачайте snort и правила snort

wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz

Существует несколько вариантов правил. Следующее загрузит публичные правила, однако с быстрой регистрацией на сайте snort вы можете получить более актуальные правила. Ваш выбор, но следующая команда выполняется так же с соответствующим URL:

wget http://snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

b. Распакуйте и подготовьте их к компиляции

tar zxvf snort-2.8.0.1.tar.gz  
cd snort-2.8.0.1  
tar zxvf ../snortrules-pr-2.4.tar.gz

c. Теперь скомпилируйте их

./configure -enable-dynamicplugin --with-mysql  
make  
make install

Держите эту директорию под рукой, так как вы можете просто выполнить

make uninstall

Чтобы удалить snort позже, если вы решите

d. Переместите файлы на место

Теперь нам нужно переместить правила и конфигурацию для snort на место

mkdir /etc/snort /etc/snort/rules /var/log/snort  
cd /usr/src/snort-2.8.0.1/etc  
cp * /etc/snort/  
cd ../rules  
cp * /etc/snort/rules

4. Настройте Snort

Нам нужно изменить файл snort.conf, чтобы он соответствовал нашим требованиям.

Откройте /etc/snort/snort.conf с помощью вашего любимого текстового редактора (nano, vi, vim и т.д.).

# vi /etc/snort/snort.conf

Измените “ var HOME_NET any “ на “ var HOME_NET 192.168.1.0/24 “ (ваша домашняя сеть может отличаться от 192.168.1.0)
Измените “ var EXTERNAL_NET any “ на “ var EXTERNAL_NET !$HOME_NET “ (это означает, что все, кроме HOME_NET, является внешним)
Измените “ var RULE_PATE ../rules “ на “ var RULE_PATH /etc/snort/rules “

Прокрутите вниз по списку до секции с “ # output database: log, mysql, user= “, уберите “ # “ перед этой строкой.
Измените “ user=root “ на “ user=snort “, измените “ password=password “ на “ password=snort_password “, “ dbname=snort “
Запомните имя пользователя, пароль и имя базы данных. Вам потребуется эта информация, когда мы будем настраивать базу данных Mysql.
Сохраните и выйдите.

Измените права доступа к файлу конфигурации, чтобы обеспечить безопасность (спасибо rojo):

# chmod 600 /etc/snort/snort.conf

5. Настройте базу данных Mysql.

Войдите на сервер mysql.

# mysql -u root -p

Создайте базу данных snort. Убедитесь, что вы изменили ‘snort_password’ на что-то другое!

mysql> create database snort;  
grant all privileges on snort.* to 'snort'@'localhost' identified by 'snort_password'; mysql> exit

Мы будем использовать схему snort для структуры базы данных.

# mysql -D snort -u snort -p < /usr/src/snort-2.8.0.1/schemas/create_mysql

ПРИМЕЧАНИЕ: Используйте пароль пользователя вашей базы данных snort, когда будет предложено.

6. Время тестировать Snort

В терминале введите:

# snort -c /etc/snort/snort.conf

Если все прошло хорошо, вы должны увидеть ASCII-свинью.

Чтобы завершить тест, нажмите ctrl + c.

ПРИМЕЧАНИЕ: Если вы получите ошибки, возможно, вам стоит попробовать закомментировать строки 97, 98 и 452 в /etc/snort/rules/web-misc.rules. Это была проблема в прошлом, но, похоже, сейчас ее нет.

7. Получите и установите BASE

Откройте веб-браузер и перейдите по адресу http://sourceforge.net/project/showfiles.php?group_id=103348.

Нажмите на загрузку, затем щелкните правой кнопкой мыши на самом новом пакете tar.gz и выберите “копировать ссылку” (на момент написания это base-1.3.9).

В терминале введите:

cd  
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz

Теперь перейдите в корень вашего веб-документа (по умолчанию это /var/www), распакуйте архив и установите необходимые права для настройки BASE:

cd /var/www/  
tar zxvf ~/base-1.3.9.tar.gz  
cd ..  
chmod 757 base-1.3.9

Мы хотим убедиться, что несколько модулей Pear активированы:

pear install Image_Color  
pear install Image_Canvas-alpha  
pear install Image_Graph-alpha

8. Настройте BASE

Откройте веб-браузер и перейдите по адресу http://YOUR.IP.ADDRESS/base-1.3.9/setup.

Нажмите “продолжить” на первой странице.

Шаг 1 из 5: Введите путь к ADODB.
Это /usr/share/php/adodb.
Шаг 2 из 5:
Тип базы данных = MySQL, Имя базы данных = snort, Хост базы данных = localhost, Имя пользователя базы данных = snort, Пароль базы данных = snort_password
Шаг 3 из 5: Если вы хотите использовать аутентификацию, введите имя пользователя и пароль здесь и отметьте флажок.
Шаг 4 из 5: Нажмите на “Создать BASE AG”.
Шаг 5 из 5: после завершения шага 4 внизу нажмите на “Теперь продолжите к шагу 5”.

Добавьте эту страницу в закладки.

Измените права доступа обратно на папку /var/www/base-1.3.9.

# chmod 755 /var/www/base-1.3.9

Мы закончили. Поздравляем!!!

Чтобы запустить Snort в терминале, введите (убедитесь, что вы изменили eth0 на правильный интерфейс для вашего компьютера):

# snort -c /etc/snort/snort.conf -i eth0 -D

Это запускает snort, используя интерфейс eth0 в режиме демона. Вы можете добавить это в ваш файл /etc/rc.local, чтобы он запускался после перезагрузки.

Чтобы убедиться, что он работает, вы можете проверить с помощью следующей команды:

# ps aux | grep snort

Если он работает, вы увидите запись, похожую на snort -c /etc/snort/snort.conf -i eth0 -D.

Если вы хотите узнать, как писать свои собственные правила Snort, есть руководство по адресу http://www.snort.org/docs/snort_manual/node16.html.
Удачи.