Обнаружение вторжений с помощью BASE и Snort

Этот учебник показывает, как установить и настроить BASE (Basic Analysis and Security Engine) и систему обнаружения вторжений Snort (IDS) на системе Debian Sarge. BASE предоставляет веб-интерфейс для запроса и анализа предупреждений, поступающих от системы IDS Snort. С помощью BASE вы можете выполнять анализ вторжений, которые Snort обнаружил в вашей сети.

Сценарий: сервер Linux, работающий под управлением Debian Sarge 3.1, настроенный в соответствии с рекомендациями Фалко - Идеальная настройка - Debian Sarge (3.1).
Предположим, у нас есть один работающий веб-сайт ( www.example.com) и что корневая директория документа: /var/www/www.example.com/web
IP сервера 192.168.0.5, и он использует eth0 в качестве имени сетевого интерфейса.

Необходимые программы и файлы

Snort
Правила Snort
PCRE (Совместимые с Perl регулярные выражения)
LIBPCAP
BASE (Basic Analysis and Security Engine)
ADOdb (Библиотека абстракции базы данных ADOdb для PHP (и Python).)

Загрузка и распаковка

Нам нужно временное место для всех файлов, которые мы собираемся скачать и распаковать.
Чтобы упростить задачу, мы создадим каталог в /root с именем snorttemp. (Очевидно, что этот каталог загрузки может иметь любое имя и находиться в любом месте)

cd /root
mkdir snorttemp
cd snorttemp

Теперь вам нужно получить Snort.
Последняя версия на момент написания этого текста - 2.6.0

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

Когда загрузка завершится, распакуйте файл:

tar -xvzf snort-2.6.0.tar.gz

И давайте удалим tar файл:

rm snort-2.6.0.tar.gz

Нам также нужны правила Snort!
Перейдите на: http://www.snort.org/pub-bin/downloads.cgi и прокрутите вниз, пока не увидите правила “Sourcefire VRT Certified Rules - The Official Snort Ruleset (выпуск для незарегистрированных пользователей)”
(Если вы являетесь членом форума, вы также можете скачать - выпуск для зарегистрированных пользователей):

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

Переместите snortrules-pr-2.4.tar.gz в каталог snort-2.6.0:

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

и cd в snort-2.6.0:

cd snort-2.6.0

Распакуйте файл snortrules-pr-2.4.tar.gz:

tar -xvzf snortrules-pr-2.4.tar.gz

Удалите tar файл:

rm snortrules-pr-2.4.tar.gz

Мы закончили загрузку файлов, необходимых для работы Snort.

Чтобы Snort работал с BASE, нам нужно больше!

PCRE - Совместимые с Perl регулярные выражения.

Перейдите на: http://www.pcre.org/ и выберите ссылку для загрузки файла pcre-6.3tar.gz, чтобы скачать PCRE (на момент написания этого текста это pcre-6.3.tar.gz)
cd обратно в каталог snorttemp:

cd /root/snorttemp

и загрузите файл pcre-6.3.tar.gz:

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

Распакуйте файл:

tar -xvzf pcre-6.3.tar.gz

Удалите tar:

rm pcre-6.3.tar.gz