Snort

From ICO wiki
Revision as of 21:02, 2 May 2011 by Eumal (talk | contribs)
Jump to navigationJump to search

ERKO UMAL A21 ARTIKKEL POOLELI!!!

SNORT

Mis on Snort?

Snort on avatud lähtekoodiga võrgu sissetungi vältimise süsteemi, mis on võimeline täitma reaalajas liiklus-analüüsi ja packeti loggimisi IP võrkudes. Smort suudab teha protokolli analüüsi, sisu otsimist/sobitust ja saab kasutada erinevate rünnakute ja sondide leidmisel,nagu ka stealth port skaneerimist, CGI rünnakud, SMB sondid, OS sõrmejäle tegemisel, ning palju muud.

Mida saab Snortiga teha?

Snortil on kolm peamist otstarvet:

  1. Võib seda otseselt kasutada pakkide nuuskimisel nagu tcpdump.
  2. Paketi loggerina (kasulik võrguliikluse debuggimisel jne).
  3. Või siis täis puhutud võrgu sissetungi vältimise süsteemina.

Kuidas Snort tööle saada?

Eeltingimused

MacPorts

Võib juhtuda, et kõigepealt pead installeerima MacPorts paki. Juhendi MacPortsi konfigureerimiseks leiad siit http://trac.macports.org/wiki/InstallingMacPorts

MySQL 5 installeerimine

Me kasutame MySQLi, et salvestada Snorti teateid andmebaasi BASE, et neile juurdepääseda ja kuvada.

  • Installi MySQL koos MacPortsiga.
   %% sudo port install mysql5 +server
  • mysql_install_db5 käsu täitmisel esmakordselt teha setup MySQL5.
   %% sudo -u mysql mysql_install_db5
  • käivita MySQL ja seadistada see käivituma süsteemi bootimisel.
   %% sudo launchctl load -w /Library/LaunchDaemons/org.macports.mysql5.plist
  • Kinnita MySQL protsess, et see töötaks selle käsuga.
   %% ps -ax | grep mysql
  • Kui MySQL töötab näeb väljund allolevaga sarnane välja.
   26683  ??  Ss     0:00.05 /opt/local/bin/daemondo --label=mysql5 --start-
   26692  ??  S      0:00.02 /bin/sh /opt/local/lib/mysql5/bin/mysqld_safe -
   26712  ??  S      0:16.90 /opt/local/libexec/mysqld --basedir=/opt/local 
   20796  p2  R+     0:00.00 grep mysql
  • Loo MySQL root parool.
   %% sudo /opt/local/lib/mysql5/bin/mysqladmin -u root password <mypassword>
  • Teosta MySQL root konto logini test uue root parooliga.
   %% mysql5 -u root -p

PHP intsleerimine ja testimine

Võite installida PHP 4 või 5, kuid hea PHP5 binaarne paigaldaja, mis töötab koos Apple'i Apache 1.3 on Marc Liyanage's PHP 5 pakett.

  • Laadige alla ja käivitage installeri pakett, tehke "lihtne install " ja hiljem redigeerige faili / usr/local/php5/lib/php.ini jaoks MacPorts "MySQL5 nagu näidatud.
   mysql.default_socket = /opt/local/var/run/mysql5/mysqld.sock
  • BASE liides kasutab faili index.php, nii et kui sa tahad lihtsalt "/ base" url juurdepääsu BASE veebiliidest leida httpd.conf faili (/ etc / httpd / httpd.conf Apple'i sisseehitatud Apache ) ja lisa "index.php",

DirectoryIndex direktiivi, nagu näidatud.

   <IfModule dir_module>
       DirectoryIndex index.html index.php
   </IfModule>
  • Nüüd pane veebiserver tööle.
    • Mine System Preferences Applei menüüs.
      • Kliki Sharing ikoonile.
        • Pane linnuke Web Sharing ruutu või eemaldada linnuke ja vaata seda uuesti.

Valmistuge PHP testiks, looge fail nimega test.php Apache dokumendi juurkataloogi (/ Library / veebiserveri / Documents Apple'i sisseehitatud Apache), mis sisaldab allpool toodud rida.

   <?php phpinfo() ?>.

Nüüd ava url http://localhost/test.php brauseris. Kui PHP töötab korralikult näed PHP tabelit.

Snort DB loomine

Logi sisse MySQLis root kasutajana.

   %% mysql5 -u root -p

Kui oled loginud MySQLis root kasutajaks, loo Snorti andmebaas ja kasutaja ning määrata Snorti load andmebaasis.

   mysql> create database snort;
   mysql> grant INSERT,SELECT on root.* to snort@localhost;
   mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost;
   mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort;
   mysql> SET PASSWORD FOR snort@localhost = OLD_PASSWORD('<snortdb-passwd>');
   mysql> exit

Installeeri ja konfigureeri BASE.

Teostage see käsk paigaldamaks BASE ja selle sõltuvus Adodb kaudu MacPortsi.

   %% sudo port install base

Tee sümbolitega lingid Apache root dokumenti.

   %% cd <Apache-docroot>
   %% sudo ln -s /opt/local/share/adodb  adodb
   %% sudo ln -s /opt/local/share/base  base

Tee koopia BASE proovi failist mille laiendiks on "dist".

   %% cd /opt/local/share/base
   %% sudo cp base_conf.php.dist base_conf.php

Avage fail base_conf.php tekstiredaktoris.

   %% pico /opt/local/share/base/base_conf.php

Muuda faili muutujad, nagu on näidatud.

   $BASE_urlpath  = '/base';
   $DBlib_path    = '/<Apache-docroot>/adodb';
   $alert_dbname     = 'snort';
   $alert_host       = 'localhost';
   $alert_user       = 'snort';
   $alert_password   = '<mysql-snort-password>';
   $archive_dbname   = 'snort';
   $archive_user     = 'snort';
   $archive_password = '<mysql-snort-password>';
   $archive_host     = 'localhost'

Snordi instaleerimine ja konfigureerimine

Siin installime Snorti, impordime Snordi MySQL andmebaasi skeemi ja seadistame Snorti.

Snordi installeerimine

Kasutage neid samme, et installida MacPortsi kaudu Snort.

   %% sudo port install snort +mysql5 +server

Installi Snordi reeglid

Tee koht Snordi seadete failidele, eeskirjadele ja logidele.

   %% sudo mkdir –p /opt/local/etc/snort/rules
   %% sudo mkdir /var/log/snort

Selleks, et käivitada täielik eeskirjade kogum, peate registreeruma Snort.org. Siis minge Snordi reeglite lehele ning laadige alla "registred user" versioon (võid ka maksta ja saada "subscription release") Snordi reeglite failidest ning pakkige need lahti.

   %% cd <snort-rules-download-dir>/rules
   %% sudo cp * /opt/local/etc/snort/rules
   %% sudo cp *.config /opt/local/etc/snort

Kuna Snordil ei ole automatiseeritud updateimis mehhanismi, peaksite alla laadima uusimad eeskirjad ja taaskäivitama Snordi iga paari nädala tagant veendumaks, et see tunneks uusimaid rünnaku profiile.


Redigeeri snort.conf

Nimeta snort.conf proovi fail ümber snort.conf.

   %% cd /opt/local/etc/snort
   %% sudo mv snort.conf.dist snort.conf
   %% sudo pico /opt/local/etc/snort/snort.conf

Siis ava snort.conf tekstiredaktoris.

   %% sudo pico /opt/local/etc/snort/snort.conf

Muuda RULE_PATH ja andmebaasi muutujad täpselt nii, nagu on näidatud ja HOME_NET vastavalt vajadusele.

   # Path to your rules files
   var RULE_PATH /opt/local/etc/snort/rules
   # database: log to a variety of databases
   output database: alert, mysql, user=snort password=<snortpwd> dbname=snort host=localhost
   var HOME_NET [10.1.1.0/24,192.168.1.0/24]

Vaikeseaded teiste muutujate snort.conf failis peaks olema OK enamikel eesmärkidel.