|
|
(4 intermediate revisions by the same user not shown) |
Line 1: |
Line 1: |
| == Sissejuhatus ==
| | {{db-g7}} |
| Snort on tasuta vabavaraline võrgu sissetungi vältimise süsteem ja võrgu sissetungi avastamise süsteem,mis on loodud Martin Roesch´i poolt 1998. aastal. Snorti vabavaralisel võrgupõhisel sissetungi avastamise süsteemil on võime teostada reaalajas liikluse analüüsi ja pakettide logimist IP võrkudes. Snort teostab protokolli analüüsi, sisu otsimist ja sisu vastavust.
| |
| | |
| Programmi saab samuti kasutada, et avastada sonde või rünnakuid, kaasa arvatud operatsioonisüsteemi sõrmejälgede katseid,
| |
| juurdepääsu liideseid, puhvri ületäitumisi, serveri sõnumiploki sonde ja salajasi portide skaneerimisi.
| |
| | |
| Siin juhendis seadistame võrgu sissetungi vältimise süsteemi snort, milleks konfigureerime SNORT´i, Barnyard2´e, MySql´i ja BASE´i Ubuntu 14.04-le.
| |
| | |
| Seda konfiguratsiooni on natuke keeruline seadistada ja diagnoosida ning vajab mõningast tarkvara kompilatsiooni.
| |
| | |
| == SNORT installeerimine ja seadistamine ==
| |
| | |
| Siin juhendis teeme kõike sudo õigustes, selleks tuleb sisestada:
| |
| | |
| <pre> sudo -i </pre>
| |
| | |
| Esmalt tuleb teha tavaline apt-get update/upgrade:
| |
| | |
| <pre> apt-get update </pre>
| |
| | |
| <pre> apt-get upgrade </pre>
| |
| | |
| ning peale seda installeerime snort´i:
| |
| | |
| <pre> apt-get install snort </pre>
| |
| | |
| Snort´i installatsiooni ajal peab kirjutama enda koduvõrgu ehk kaitstud alamvõrgu:
| |
| | |
| <pre> 192.168.56.0/24 </pre>
| |
| | |
| Seejärel peab muutma snort.conf faili:
| |
| | |
| <pre> nano /etc/snort/snort.conf </pre>
| |
| | |
| NB: '''Selleks, et minna mingile kindlale reale nano-s, tuleb kasutada CTRL + W ja siis CTRL + T ning kirjutada vastav reanumber.'''
| |
| | |
| Muudame rida 51:
| |
| | |
| <pre> ipvar HOME_NET 192.168.56.0/24 </pre>
| |
| | |
| ning rida 536:
| |
| | |
| <pre> output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types </pre>
| |
| | |
| Peale seda taaskäivitame snort´i:
| |
| | |
| <pre> service snort restart </pre>
| |
| | |
| Eemaldame eelmised logikirjed:
| |
| | |
| <pre> rm /var/log/snort/snort.log </pre>
| |
| | |
| Muudame /etc/snort/rules/local.rules faili:
| |
| | |
| <pre> nano /etc/snort/rules/local.rules </pre>
| |
| | |
| lisame sinna kaks reeglit testimise eesmärgil:
| |
| | |
| <pre>alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
| |
| alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002; rev:1;) </pre>
| |
| | |
| == Snort´i testimine ==
| |
| | |
| Testime snort´i:
| |
| | |
| <pre> snort -i eth1 -v </pre>
| |
| | |
| NB: '''CTRL + C, et peatada testimine.'''
| |
| | |
| Seejärel teeme konfiguratsiooni laadimise testi:
| |
| | |
| <pre> snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth1 -T </pre>
| |
| | |
| Käivitame snort´i otse hoiatuste konsoolirežiimis(kui serverit nüüd pingida, peaksid ilmuma hoiatused):
| |
| | |
| <pre> snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth1 </pre>
| |
| | |
| == Barnyard2 seadistamine ==
| |
| | |
| Esmalt me installeerime komilatsiooni sõltuvused ja barnyard2 sõltuvused:
| |
| | |
| <pre> apt-get install autoconf </pre>
| |
| <pre> apt-get install libtool </pre>
| |
| <pre> apt-get install libpcap-dev </pre>
| |
| <pre> apt-get install libmysqlclient-dev </pre>
| |
| | |
| Seejärel installeerime barnyard2´e:
| |
| | |
| <pre> cd /usr/src </pre>
| |
| <pre> wget https://github.com/firnsy/barnyard2/tarball/master </pre>
| |
| <pre> tar -zxf master </pre>
| |
| <pre> cd firnsy-barnyard2*</pre>
| |
| <pre> autoreconf -fvi -I ./m4 </pre>
| |
| <pre> ./configure --with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu </pre>
| |
| <pre> make </pre>
| |
| <pre> make install </pre>
| |
| <pre> cp /usr/local/etc/barnyard2.conf /etc/snort </pre>
| |
| <pre> cp schemas/create_mysql /usr/src </pre>
| |
| <pre> mkdir /var/log/barnyard2 </pre>
| |
| | |
| Muudame Barnyard2.conf faili:
| |
| | |
| <pre> nano /etc/snort/barnyard2.conf </pre>
| |
| | |
| Muudame rida 226:
| |
| | |
| <pre> output alert_fast </pre>
| |
| | |
| Muudame rida 347, selleks kustutame kommentaari märgi ära ning muudame parooli:
| |
| | |
| <pre> output database: log, mysql, user=snort password=''sinuvalitudparool'' dbname=snort host=localhost </pre>
| |
| | |
| == MySql´i seadistamine ==
| |
| | |
| Installeerime MySqli serveri:
| |
| | |
| <pre> apt-get install mysql-server </pre>
| |
| | |
| Installatsiooni käigus küsitakse Mysql´i serveri parooli, tuleb sisestada:
| |
| | |
| <pre> ''sinuvalitudparool'' </pre>
| |
| | |
| Seadistame andmebaasi:
| |
| | |
| <pre> mysql -u root -p </pre>
| |
| | |
| Sisestame need read SQL> konsooli:
| |
| | |
| <pre> create database snort; </pre>
| |
| <pre> create database archive; </pre>
| |
| | |
| <pre> grant usage on snort.* to snort@localhost; </pre>
| |
| <pre> grant usage on archive.* to snort@localhost; </pre>
| |
| | |
| <pre> set password for snort@localhost=PASSWORD('sinuvalitudparool'); </pre>
| |
| | |
| <pre> grant all privileges on snort.* to snort@localhost; </pre>
| |
| <pre> grant all privileges on archive.* to snort@localhost; </pre>
| |
| | |
| <pre> flush privileges; </pre>
| |
| | |
| <pre> exit </pre>
| |
| | |
| Seejärel kasutame Snort´i struktuuri MySqli´i andmebaasis:
| |
| | |
| <pre> mysql -u root -p </pre>
| |
| | |
| Sisestame:
| |
| | |
| <pre> use snort; </pre>
| |
| <pre> source /usr/src/create_mysql; </pre>
| |
| | |
| Selle päringuga näeme uusi tabeleid, mis me just importisime
| |
| <pre> show tables; </pre>
| |
| | |
| <pre> exit </pre>
| |