SAMBA/LDAP
Postfix Mail Server
HA Clustering
Warning: Parameter 3 to mb_videobot() expected to be a reference, value given in /home/www/virtual/susethailand.com/htdocs/libraries/joomla/event/dispatcher.php on line 136
Snort-BASE
Written by Mr. Sontaya Photibut Saturday, 02 May 2009 15:37
การติดตั้ง Intrusion Detection ด้วย Snort และ BASE
Snort เป็น Open Source IDS (intrusion detection system) เครื่องมือที่ใช้ตรวจจับการบุกรุกทางเครือข่ายและทำงานแบบ real-time alerting และ Snort สามารถเก็บล็อกไฟล์ที่เราต้องการลง database ได้ เช่น MySQL, PosgrestSQL เป็นต้น
Requirements
- เครื่องของคุณต้องทำเป็น web server แล้ว (apache2, MySQL5, PHP5)
- install(YaST)
- Snort
- PCRE (Perl Compatible Regular Expressions)
- LIBPCAP
Install BASE (Basic Analysis and Security Engine)
Base เป็น plug-ins สำหรับดึงข้อมูลมาตรวจสอบจาก database ทำให้สะดวกในการ monitoring
# mkdir /usr/src/snort
# cd /usr/src/snort
# wget http://nchc.dl.sourceforge.net/sourceforge/secureideas/base-1.3.9.tar.gz
# tar -zxvf base-1.3.9.tar.gz -C /srv/www/htdocs/
# mv /srv/www/htdocs/base-1.3.9 base
# chmod 757 /srv/www/htdocs/base/
Install ADOdb: (ADOdb Database Abstraction Library for PHP
# cd /usr/src/snort
# wget http://nchc.dl.sourceforge.net/sourceforge/adodb/adodb504.tgz
# tar -zxf adodb504.tgz
# tar -zxvf adodb504.tar.gz -C /srv/www/htdocs/
# mv /srv/www/htdocs/adodb504 adodb
Configure Snort
# vi /etc/snort/snort.conf
เปลื่ยน "var HOME_NET any" ไปเป็น "var HOME_NET 192.168.0.0/24" (เครือข่ายที่ต้องการ monitor)
เปลื่ยน "var EXTERNAL_NET any" ไปเป็น "var EXTERNAL_NET !$HOME_NET"
เปลื่ยน "var RULE_PATH ../rules" to "var RULE_PATH /etc/snort/rules"
Create Database for Snort
ไฟล์อยู่ที่ /usr/share/doc/packages/snort/schemas
create_mysql
ให้คุณสร้าง DB ชื่อ snort (จะใช้ command หรือ phpMyAdmin ก็ตามสะดวกครับ)
แล้ว import ไฟล์ create_mysql ลงไปใน DB snort ครับ
# mysql -u root -p
(root password)
mysql> create database snort;
mysql> exit
# mysql -D snort -u root -p </usr/share/doc/packages/snort/schemas/create_mysql
(root password)
# vi /etc/snort/snort.conf
output database: log, mysql, user=root password=password dbname=snort host=localhost
ทดสอบ snort เพื่อตรวจสอบว่ามี error หรือไม่
# snort -c /etc/snort/snort.conf
จะได้ข้อความประมาณนี้ (ถ้าไม่มี error เป็นอันว่า ok)
Rule application order: ->activation->dynamic->drop->alert->pass->log
Log directory = /var/log/snort
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.4.4 (Build 28) x86_64
'''' By Martin Roesch & The Snort Team: http://www.snort.org/team.html
(C) Copyright 1998-2005 Sourcefire Inc., et al.
NOTE: Snort's default output has changed in version 2.4.1!
The default logging mode is now PCAP, use "-K ascii" to activate
the old default logging mode.
กด Ctrl+C เพื่อหยุดและออก
BASE web page setup
เป็น web browser (firefox) http://yoursite.com/base/
Step 1
คลิก Continue
Step 2
Language : english
Path to ADODB : /srv/www/htdocs/adodb
คลิก Submit Query
Step 3
Database type : MySQL
Database Name : snort
Database Host : localhost
Database User Name : root
Database Password : ******
คลิก Submit Query
Step 4
Admin User Name: root
Password : *******
Full Name : SYSBASD
Step 5
คลิกปุ่ม Create BASE AG
คลิกที่ Now continure to stop5...
Install Image_Color, Image_Canvas and Image_Graph
ติดตั้ง php5-gd จาก YaST
# pear5 channel-update "pear.php.net"
# pear5 install Image_Color
# pear5 install Image_Canvas-alpha
# pear5 install Image_Graph-alpha
หรือ
# cd /srv/www/htdocs/base
# wget http://pear.php.net/get/Image_Color-1.0.2.tgz
# tar zxvf Image_Color-1.0.2.tgz
# rm Image_Color-1.0.2.tgz
# pear5 install Image_Color-1.0.2.tgz
# wget http://pear.php.net/get/Image_Canvas-0.3.1.tgz
# tar zxvf Image_Canvas-0.3.1.tgz
# rm Image_Canvas-0.3.1.tgz
# pear5 install Image_Canvas-0.3.1.tgz
# wget http://pear.php.net/get/Image_Graph-0.7.tgz
# tar zxvf Image_Graph-0.7.2.tgz
# rm Image_Graph-0.7.2.tgz
# pear5 install Image_Graph-0.7.2.tgz
Starting Snort
# chmod 775 /srv/www/htdocs/base/
# snort -c /etc/snort/snort.conf -i eth0 -g root -D
Web base runing
http://www.yoursite.com/base/
Subscribe to this comment's feed
