Snort
ERKO UMAL A21 ARTIKKEL POOLELI!!!
SNORT
Mis on Snort?
Snort on avatud lähtekoodiga võrgu sissetungi vältimise süsteemi, mis on võimeline täitma reaalajas liiklus-analüüsi ja packeti loggimisi IP võrkudes. Smort suudab teha protokolli analüüsi, sisu otsimist/sobitust ja saab kasutada erinevate rünnakute ja sondide leidmisel,nagu ka stealth port skaneerimist, CGI rünnakud, SMB sondid, OS sõrmejäle tegemisel, ning palju muud.
Mida saab Snortiga teha?
Snortil on kolm peamist otstarvet:
- Võib seda otseselt kasutada pakkide nuuskimisel nagu tcpdump.
- Paketi loggerina (kasulik võrguliikluse debuggimisel jne).
- Või siis täis puhutud võrgu sissetungi vältimise süsteemina.
Kuidas Snort tööle saada?
Eeltingimused
MacPorts
Võib juhtuda, et kõigepealt pead installeerima MacPorts paki. Juhendi MacPortsi konfigureerimiseks leiad siit http://trac.macports.org/wiki/InstallingMacPorts
MySQL 5 installeerimine
Me kasutame MySQLi, et salvestada Snorti teateid andmebaasi BASE, et neile juurdepääseda ja kuvada.
- Installi MySQL koos MacPortsiga.
%% sudo port install mysql5 +server
- mysql_install_db5 käsu täitmisel esmakordselt teha setup MySQL5.
%% sudo -u mysql mysql_install_db5
- käivita MySQL ja seadistada see käivituma süsteemi bootimisel.
%% sudo launchctl load -w /Library/LaunchDaemons/org.macports.mysql5.plist
- Kinnita MySQL protsess, et see töötaks selle käsuga.
%% ps -ax | grep mysql
- Kui MySQL töötab näeb väljund allolevaga sarnane välja.
26683 ?? Ss 0:00.05 /opt/local/bin/daemondo --label=mysql5 --start- 26692 ?? S 0:00.02 /bin/sh /opt/local/lib/mysql5/bin/mysqld_safe - 26712 ?? S 0:16.90 /opt/local/libexec/mysqld --basedir=/opt/local 20796 p2 R+ 0:00.00 grep mysql
- Loo MySQL root parool.
%% sudo /opt/local/lib/mysql5/bin/mysqladmin -u root password <mypassword>
- Teosta MySQL root konto logini test uue root parooliga.
%% mysql5 -u root -p
PHP intsleerimine ja testimine
Võite installida PHP 4 või 5, kuid hea PHP5 binaarne paigaldaja, mis töötab koos Apple'i Apache 1.3 on Marc Liyanage's PHP 5 pakett.
- Laadige alla ja käivitage installeri pakett, tehke "lihtne install " ja hiljem redigeerige faili / usr/local/php5/lib/php.ini jaoks MacPorts "MySQL5 nagu näidatud.
mysql.default_socket = /opt/local/var/run/mysql5/mysqld.sock
- BASE liides kasutab faili index.php, nii et kui sa tahad lihtsalt "/ base" url juurdepääsu BASE veebiliidest leida httpd.conf faili (/ etc / httpd / httpd.conf Apple'i sisseehitatud Apache ) ja lisa "index.php",
DirectoryIndex direktiivi, nagu näidatud.
<IfModule dir_module> DirectoryIndex index.html index.php </IfModule>
- Nüüd pane veebiserver tööle.
- Mine System Preferences Applei menüüs.
- Kliki Sharing ikoonile.
- Pane linnuke Web Sharing ruutu või eemaldada linnuke ja vaata seda uuesti.
- Kliki Sharing ikoonile.
- Mine System Preferences Applei menüüs.
Valmistuge PHP testiks, looge fail nimega test.php Apache dokumendi juurkataloogi (/ Library / veebiserveri / Documents Apple'i sisseehitatud Apache), mis sisaldab allpool toodud rida.
<?php phpinfo() ?>.
Nüüd ava url http://localhost/test.php brauseris. Kui PHP töötab korralikult näed PHP tabelit.
Snort DB loomine
Logi sisse MySQLis root kasutajana.
%% mysql5 -u root -p
Kui oled loginud MySQLis root kasutajaks, loo Snorti andmebaas ja kasutaja ning määrata Snorti load andmebaasis.
mysql> create database snort; mysql> grant INSERT,SELECT on root.* to snort@localhost; mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort@localhost; mysql> grant CREATE,INSERT,SELECT,DELETE,UPDATE on snort.* to snort; mysql> SET PASSWORD FOR snort@localhost = OLD_PASSWORD('<snortdb-passwd>'); mysql> exit
Installeeri ja konfigureeri BASE.
Teostage see käsk paigaldamaks BASE ja selle sõltuvus Adodb kaudu MacPortsi.
%% sudo port install base
Tee sümbolitega lingid Apache root dokumenti.
%% cd <Apache-docroot> %% sudo ln -s /opt/local/share/adodb adodb %% sudo ln -s /opt/local/share/base base
Tee koopia BASE proovi failist mille laiendiks on "dist".
%% cd /opt/local/share/base %% sudo cp base_conf.php.dist base_conf.php
Avage fail base_conf.php tekstiredaktoris.
%% pico /opt/local/share/base/base_conf.php
Muuda faili muutujad, nagu on näidatud.
$BASE_urlpath = '/base';
$DBlib_path = '/<Apache-docroot>/adodb';
$alert_dbname = 'snort';
$alert_host = 'localhost';
$alert_user = 'snort';
$alert_password = '<mysql-snort-password>';
$archive_dbname = 'snort';
$archive_user = 'snort';
$archive_password = '<mysql-snort-password>';
$archive_host = 'localhost'