Обнаружение вторжений с помощью BASE и Snort

Установка

Давайте начнем с: LIBPCAP.
Убедитесь, что вы находитесь в каталоге, в который вы загрузили все файлы.

cd /root/snorttemp

перейдите в каталог libcap:

cd libpcap-0.9.4

и соберите / установите LIBPCAP:

./configure
make
make install

Следующий шаг - PCRE.
Снова убедитесь, что вы находитесь в каталоге, в который вы загрузили все файлы.

cd /root/snorttemp

перейдите в каталог PCRE:

cd pcre-6.3

и соберите / установите pce-6.3

./configure
make
make install

Теперь пришло время для Snort:
Убедитесь, что вы находитесь в каталоге, в который вы загрузили все файлы.

cd /root/snorttemp

перейдите в каталог snort:

cd snort-2.6.0

и соберите / установите Snort с некоторыми дополнительными необходимыми параметрами!

./configure –enable-dynamicplugin –with-mysql
make
make install

Snort нуждается в некоторых каталогах, так что давайте создадим их:

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort

Перемещаем файлы Snort из каталога установки в только что созданные каталоги.
Убедитесь, что вы находитесь в каталоге, в который вы загрузили все файлы.

cd /root/snorttemp

и перейдите в snort-2.6.0:

cd snort-2.6.0

и в правила

cd rules

теперь мы копируем все файлы из

/rules

/etc/snort/rules

cp * /etc/snort/rules

Мы сделаем то же самое для файлов в каталоге установки

/etc

cd ../etc
cp * /etc/snort

Исправление snort.conf

Файл /etc/snort/snort.conf нуждается в некоторой настройке, чтобы работать на вашей системе!
Поэтому перейдите в /etc/snort:

cd /etc/snort

и откройте snort.conf с помощью nano (или любого другого текстового редактора)

nano snort.conf

измените “var HOME_NET any” на “var HOME_NET 192.168.0.5/32 “
измените “var EXTERNAL_NET any” на “var EXTERNAL_NET !$HOME_NET “
измените “var RULE_PATH ../rules” на “var RULE_PATH /etc/snort/rules “

Поскольку мы собрали Snort с параметром ‘–with-mysql’ и поскольку BASE нуждается в этом, нам также нужно сказать Snort, какую базу данных использовать.
Прокрутите вниз, пока не увидите “ # output database “, и удалите # перед строкой для MySQL.
Теперь также измените “ user “, “ password “ и “ dbname “. Запомните это, так как вам это понадобится позже!
Сохраните файл и закройте ‘nano’

Настройка базы данных MySQL для Snort.

Существует много способов создать базу данных snort.
Макет таблицы можно найти в файле create_mysql в каталоге /root/snorttemp/snort-2.6.0/schemas.
Как бы вы ни создали базу данных, убедитесь, что ‘user’, ‘password’ и ‘dbname’ совпадают с теми, что вы установили в файле /etc/snort/snort.conf!

После создания вы можете протестировать snort и посмотреть, получите ли вы какие-либо ошибки:

snort -c /etc/snort/snort.conf

Выйдите из теста с помощью Ctrl+C

Если вы не получили ошибок, Snort настроен правильно.

Перемещение ADOdb и BASE

Перемещение ADOdb:
вернитесь в каталог загрузки

cd /root/snorttemp/

и переместите adodb в корень каталога www:

mv adodb /var/www

Следующий шаг: BASE (Основной анализ и движок безопасности)
Все еще в каталоге загрузки, мы перемещаем каталог base в первый каталог веб-сайта, который вы создаете с помощью ISPconfig.

mv base-1.2.5 /var/www/www.example.com/web

и перейдите в /var/www/www.example.com/web

cd /var/www/www.example.com/web

Чтобы разрешить BASE записывать файл настройки, нам нужно установить права доступа на папку base-1.2.5 на 757:

chmod 757 base-1.2.5

Обнаружение вторжений с помощью BASE и Snort - Страница 3

Установка

Исправление snort.conf

Настройка базы данных MySQL для Snort.

Перемещение ADOdb и BASE

Get new posts in your inbox