Установка и Настройка Системы Обнаружения Вторжений Snort

Snort – это система обнаружения вторжений(атак), способная выполнять анализ трафика в режиме реального времени с целью обнаружения попыток взлома системы.

Base – это веб-интерфейс для просмотра событий поступающих от Snort.

Задача:

  1. У вас имеется сеть состоящая из нескольких серверов. Вам необходимо настроить на каждом из них систему обнаружения вторжений Snort таким образом, чтобы данные об обнаруженных атаках записывались в БД (MySQL, PostgreSQL).
  2. Настроить веб-интерфейс Base(Basic Analysis and Security Engine) для просмотра событий с сенсоров.

Предполагается, что:

  1. IP-адрес сервера на котором будет работать БД MySQL и веб-сервер – 10.0.0.1;
  2. IP-адрес системного инженера, которому разрешен просмотр событий – 10.0.0.254;
  3. Используемая БД – MySQL.

Настройка MySQL

1. На сервере с IP-адресом 10.0.0.1 установите пакет snort.

2. Запустите сервер MySQL командой:

# service mysqld start

3. После старта MySQL сервера введите в коммандной строке:

# mysql

Создайте базу данных с именем snort:

mysql> create database snort;
 Query OK, 1 row affected (0.00 sec)

4. Создайте пользователя snortuser c паролем snortpass

mysql> grant all on snort.* to snortuser identified by 'snortpass';
 Query OK, 0 rows affected (0.01 sec)

5. Выйдите из интерфейса MySQL:

mysql> \q

6. Перейдите в каталог /usr/share/doc/snort-XXX, где XXX – ваша версия snort.

7. Выполните команду:

# mysql snort

Тем самым мы создали все необходимые таблицы в БД snort.

Настройка BASE

BASE – это продолжение развития проекта ACID.

1. Скачайте последнюю версию BASE с сайта www.snort.org.

2. Распакуйте содержимое архива BASE в каталог /var/www/base

3. Сделайте владельцем этого каталога и его содержимого пользователя и группу apache:

# chown -R apache.apache /var/www/base

4. В каталоге /etc/httpd/conf.d создайте файл base.conf следующего содержания:

 Alias /base/ /var/www/base/
 
  AllowOverride None

5. Установите пакет php-adodb.

6. Перезапустите сервер apache командой:

# service httpd restart

7. В любом веб-браузере откройте страницу httpd://10.0.0.1/base/

Вы должны увидеть страницу начального конфигурирования BASE:

snort

8. Нажмите Continue:

snort

9. Выберите язык Russian и введите путь до ADODB, который по умолчанию устанавливается в каталог /var/www/adodb:

snort

10. Выберите тип БД MySQL и введите:

  • Database name: snort
  • Database host: 10.0.0.1
  • Database port: 3306
  • Database name: Snort
  • Database User Name: snortuser
  • Database User Password: snortpass

snort

11. Если Вы хотите установить пароль при входе на страницу просморта событий BASE поставьте галочку в пункте Use Authentication System и задайте имя пользователя и пароль:

snort

12. В появившемся окне нажмите кнопку Create BASE AG:

snort

Первоначальное конфигурирование BASE законченно.

snort

Настройка сенсора Snort

1. Установите на защищаемый сервер пакет snort и snort-mysql.

2. Перейдите в каталог /etc/snort/ и отредактируйте файл snort.conf, добавив/изменив следующие строки:

output database: log, mysql, user=snortuser password=snortpass dbname=snort host=10.0.0.1
var RULE_PATH /etc/snort/rules

3. Теперь нам необходимо скачать актуальные правила(rules) для Snort:

# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

4. Распакуем содержимое файла snortrules-pr-2.4.tar.gz в каталог /etc/snort/, в этом каталоге должен создаться каталог rules содержащий правила Snort.

5. Теперь нам необходимо поправить стартовый скрипт /etc/init.d/snortd. Найдите в нем строку

daemon /usr/sbin/snort $ALERTMODE $BINARY_LOG $NO_PACKET_LOG $DUMP_APP -D $PRINT_INTERFACE $INTERFACE -u $USER -g $GROUP $CONF -l $LOGDIR $PASS_FIRST $BPFFILE $BPF

Замените ее на:

daemon /usr/sbin/snort -D $PRINT_INTERFACE -u $USER -g $GROUP $CONF

6. Запустите Snort:

# service snortd start

Проверка работоспособности

1. Просканируйте сервер, на котором Вы установили сенсор Snort, сканером nmap. Допустим IP-адрес сервера 10.0.0.2, тогда выполните:

# nmap -sS 10.0.0.2

2. Войдите в интерфейс BASE httpd://10.0.0.1/base/

При правильной настройке вы должны увидеть примерно следующее:

snort

Автор: Денис Фролов

Статьи по Теме

Категории
Поиск