Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Poniżej how to Snort 2.8.1 z MySQL oraz BASE - przetestowałem - wszystko chodzi
Proszę o ew. uwagi dot. H/T
Problem jest takiej natury:
Czy jest możliwość skonfigurowania Snort'a tak aby:
1. Wyświetlały się próby skanowania za pomocą skanerów: Nessus, Zenmap, Nmap etc (Czy ktoś posiada taką regułę i podzieli się nią)
2. Czy Snort przy takiej konfiguracji zbiera tylko informacje z konkretnego kompa czy też z całej sieci?
3. Czy jeśli zrobię bridge z 2 pozostałych kart i ustawię filtrowanie z sieci do sieci, czy dalej będzie pokazywał próby skanowania portów
SNORT z mysql base projekt – wer. 1.0 z dn. 20.10.2009 r.
Debian Lenny 5.0.3 & Snort how to
by Joshua Van Horn
Założenia:
Eth0 – zarządzanie
Eth1 – tryb promiscious do nasłuchu
Eth2
- bridge
Eth3
Zmieniamy ustawienia sieci:
nano /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.1.1.50
netmask 255.255.255.0
network 10.1.1.0
broadcast 10.1.1.255
gateway 10.1.1.1
auto eth1
iface eth1 inet manual
up ifconfig $IFACE 0.0.0.0 up
up ip link set $IFACE promisc on
down ip link set $IFACE promisc off
down ifconfig $IFACE down
Zainstaluj poniższe pakiety:
apt-get install libpcap0.8-dev libmysqlclient15-dev mysql-client-5.0 mysql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mysql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev make bzip2
Instalacja PHP5
apt-get install libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl
Następnie edytujemy
nano /etc/apache2/mods-available/dir.conf
I dodajemy w dziale:
DirectoryIndex line: <IfModule mod_dir.c>
DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml
</IfModule>
Restart Apache’a
/etc/init.d/apache2 restart
wget http://dl.snort.org/snort-current/snort-2.8.5.tar.gz
tar –xf snort-2.8.5.tar.gz
cd snort-2.8.5
./configure -enable-dynamicplugin --with-mysql
make
make install
apt-get install proftpd
dodajemy:
nano /etc/proftpd/proftpd.conf
UseIPv6 off
aby przyspieszyć proces logowania dodaj do proftpd.conf wpis:
UseReverseDNS off
aby ograniczyć dostęp użytkownika do wyłącznie swojego podkatalogu w katalogu /home należy dodać wpis w pliku proftpd.conf:
DefaultRoot ~
/etc/init.d/proftpd restart
Skopiuj snortrules a następnie:
tar -xf snortrules-snapshot-2.8.tar.gz; rm snortrules-snapshot-2.8.tar.gz
mkdir /etc/snort
cd /root
mv snort-2.8.5/etc/* /etc/snort/
mv rules/ so_rules/ /etc/snort/; mkdir -p /var/log/snort/
nano /etc/snort/snort.conf
Pozamieniaj:
var HOME_NET any na var HOME_NET 10.1.1.0/24
var EXTERNAL_NET any na var EXTERNAL_NET !$HOME_NET
var RULE_PATE ../rules na var RULE_PATH /etc/snort/rules
Wyszukujemy i odkomentowujemy
# output database: log, mysql, user=", remove the "#" from in front of this line.
zmieniamy
user=snort
password=123456
dbname=snort
Upewnij się, że poprawnie ustawiłeś username, password oraz dbname !
Zmieniamy uprawnienia do pliku:
chmod 600 /etc/snort/snort.conf
logujemy się do mysql’a
mysql -u root -p
mysql> create database snort;
grant all privileges on snort.* to 'snort'@'localhost' identified by '123456';
mysql> exit
mysql -D snort -u snort -p < /root/snort-2.8.5/schemas/create_mysql
Aby sprawdzić czy ze Snort’em jest wszystko ok wpisujemy:
snort -c /etc/snort/snort.conf
cd /root
wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.4.4.tar.gz
cd /var/www/
tar zxvf ~/base-1.4.4.tar.gz
chmod 757 base-1.4.4
pear install Image_Color
pear upgrade --force PEAR-1.8.1
pear install Image_Canvas-alpha
pear install Image_Graph-alpha
pear install Mail
pear install Mail_Mime
Instalacja i konfiguracja BASE
Otwieramy w przeglądarce
http://10.1.1.50/base-1.4.4/setup/
Step 1 of 5: Enter the path to ADODB.
/usr/share/php/adodb
Step 2 of 5:
Database type = MySQL, Database name = snort, Database Host = localhost, Database username = snort, Database Password = 123456
Step 3 of 5: If you want to use authentication enter a username and password here and check the box.
Step 4 of 5: Click on Create BASE AG.
Step 5 of 5: once step 4 is done at the bottom click on Now continue to step 5.
zmieniamy uprawnienia i odpalamy Snort’a na karcie eth1, która jest w trybie promiscious
chmod 755 /var/www/base-1.4.4
snort -c /etc/snort/snort.conf -i eth1 -D
odpalamy komendę
ps aux | grep snort
jeśli snort działa zobaczysz coś podobnego:
snort -c /etc/snort/snort.conf -i eth1 -D.
to znaczy, że Snort działa
Aby zautomatyzować samoczynne odpalanie się Snort’a przy starcie:
nano /etc/rc.local
wpisujemy
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth1 -D
Ostatnio edytowany przez joshuavh (2009-10-20 08:48:47)
Offline
Time (s) | Query |
---|---|
0.00011 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00094 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.188.59.124' WHERE u.id=1 |
0.00071 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.188.59.124', 1733341850) |
0.00053 | SELECT * FROM punbb_online WHERE logged<1733341550 |
0.00062 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=15254 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00157 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=15254 ORDER BY p.id LIMIT 0,25 |
0.00085 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=15254 |
Total query time: 0.00542 s |