Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2009-10-18 19:02:25

  joshuavh - Użytkownik

joshuavh
Użytkownik
Skąd: Lublin
Zarejestrowany: 2006-08-10

Snort Lenny MySQL Base how to

Poniżej how to Snort 2.8.1 z MySQL oraz BASE - przetestowałem - wszystko chodzi
Proszę o ew. uwagi dot. H/T

Problem jest takiej natury:

Czy jest możliwość skonfigurowania Snort'a tak aby:

1. Wyświetlały się próby skanowania za pomocą skanerów: Nessus, Zenmap, Nmap etc (Czy ktoś posiada taką regułę i podzieli się nią)
2. Czy Snort przy takiej konfiguracji zbiera tylko informacje z konkretnego kompa czy też z całej sieci?
3. Czy jeśli zrobię bridge z 2 pozostałych kart i ustawię filtrowanie z sieci do sieci, czy dalej będzie pokazywał próby skanowania portów




SNORT z mysql base projekt – wer. 1.0 z dn. 20.10.2009 r.
Debian Lenny 5.0.3 & Snort how to
by Joshua Van Horn
Założenia:

Eth0 – zarządzanie
Eth1 – tryb promiscious do nasłuchu

Eth2
         -  bridge
Eth3
Zmieniamy ustawienia sieci:
nano /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.1.1.50
netmask 255.255.255.0
network 10.1.1.0
broadcast 10.1.1.255
gateway 10.1.1.1

auto eth1
     iface eth1 inet manual
     up ifconfig $IFACE 0.0.0.0 up
     up ip link set $IFACE promisc on
     down ip link set $IFACE promisc off
     down ifconfig $IFACE down
Zainstaluj poniższe pakiety:

apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev make bzip2

Instalacja PHP5
apt-get install libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Następnie edytujemy
nano /etc/apache2/mods-available/dir.conf
I dodajemy w dziale:
DirectoryIndex line: <IfModule mod_dir.c>

DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml
</IfModule>
Restart Apache’a
/etc/init.d/apache2 restart

wget http://dl.snort.org/snort-current/snort-2.8.5.tar.gz

tar –xf snort-2.8.5.tar.gz
cd snort-2.8.5
./configure -enable-dynamicplugin --with-mysql
make
make install
apt-get install proftpd
dodajemy:
nano /etc/proftpd/proftpd.conf
UseIPv6      off
aby przyspieszyć proces logowania dodaj do proftpd.conf wpis:
UseReverseDNS off

aby ograniczyć dostęp użytkownika do wyłącznie swojego podkatalogu w katalogu /home należy dodać wpis w pliku proftpd.conf:
DefaultRoot ~
/etc/init.d/proftpd restart

Skopiuj snortrules a następnie:
tar -xf snortrules-snapshot-2.8.tar.gz; rm snortrules-snapshot-2.8.tar.gz
mkdir /etc/snort
cd /root
mv snort-2.8.5/etc/* /etc/snort/
mv rules/ so_rules/ /etc/snort/;  mkdir -p /var/log/snort/

nano /etc/snort/snort.conf

Pozamieniaj:
var HOME_NET any na var HOME_NET 10.1.1.0/24
var EXTERNAL_NET any na var EXTERNAL_NET !$HOME_NET
var RULE_PATE ../rules na var RULE_PATH /etc/snort/rules

Wyszukujemy i odkomentowujemy
# output database: log, mysql, user=", remove the "#" from in front of this line.
zmieniamy
user=snort
password=123456
dbname=snort
Upewnij się, że poprawnie ustawiłeś username, password oraz dbname !
Zmieniamy uprawnienia do pliku:
chmod 600 /etc/snort/snort.conf
logujemy się do mysql’a
mysql -u root -p
mysql> create database snort;
grant all privileges on snort.* to 'snort'@'localhost' identified by '123456';
mysql> exit
mysql -D snort -u snort -p < /root/snort-2.8.5/schemas/create_mysql
Aby sprawdzić czy ze Snort’em jest wszystko ok wpisujemy:
snort -c /etc/snort/snort.conf
cd /root
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.4.4.tar.gz
cd /var/www/
tar zxvf ~/base-1.4.4.tar.gz
chmod 757 base-1.4.4
pear install Image_Color
pear upgrade --force PEAR-1.8.1
pear install Image_Canvas-alpha
pear install Image_Graph-alpha
pear install Mail
pear install Mail_Mime

Instalacja i konfiguracja BASE

Otwieramy w przeglądarce
http://10.1.1.50/base-1.4.4/setup/


Step 1 of 5: Enter the path to ADODB.
/usr/share/php/adodb
Step 2 of 5:
Database type = MySQL, Database name = snort, Database Host = localhost, Database username = snort, Database Password = 123456
Step 3 of 5: If you want to use authentication enter a username and password here and check the box.
Step 4 of 5: Click on Create BASE AG.
Step 5 of 5: once step 4 is done at the bottom click on Now continue to step 5.
zmieniamy uprawnienia i odpalamy Snort’a na karcie eth1, która jest w trybie promiscious
chmod 755 /var/www/base-1.4.4
snort -c /etc/snort/snort.conf -i eth1 -D


odpalamy komendę
ps aux | grep snort

jeśli snort działa zobaczysz coś podobnego:
snort -c /etc/snort/snort.conf -i eth1 -D.
to znaczy, że Snort działa

Aby zautomatyzować samoczynne odpalanie się Snort’a przy starcie:
nano /etc/rc.local
wpisujemy
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth1 -D

Ostatnio edytowany przez joshuavh (2009-10-20 08:48:47)


Joshua Van Horn

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.007 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00011 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00094 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.59.124' WHERE u.id=1
0.00071 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.59.124', 1733341850)
0.00053 SELECT * FROM punbb_online WHERE logged<1733341550
0.00062 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15254 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00157 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15254 ORDER BY p.id LIMIT 0,25
0.00085 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15254
Total query time: 0.00542 s