Triển khai hệ thống Snort trên Centos tích hợp snort với webmin Snort là một dạng IDS Instruction Detection System.. IDS là một hệ thống được cài đặt trên mạng làm nhiệm vụ giám sát nhữ
Trang 1Triển khai hệ thống Snort trên Centos ( tích hợp snort với webmin )
Snort là một dạng IDS (Instruction Detection System) IDS là một hệ thống được cài đặt trên mạng làm nhiệm vụ giám sát những packet vào ra hệ thống mạng Khi Snort phát hiện một cuộc tấn công thì nó có thể phản ứng bằng nhiều cách khác nhau tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó
Snort hoạt động dựa trên các luật – rule xây dựng sẵn và phải được cập nhật thường xuyên Mỗi luật đại diện cho một cuộc tấn công Khi có một packet đến hệ thống nó sẽ được áp vào tập luật, nếu có sự so trùng snort
sẽ phản ứng
ví dụ về 1 rule:
alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111 (content: "|00 01 86 a5|"; msg: "external mountd access"
Phần đầu của luật mô tả cách hành động (rule's action) là alert, giao thức (tcp) và địa chỉ IP nguồn, đích cũng như thông tin về port Phần này gọi là
“rule header”
Phần còn lại của luật, được biết như “rule option”, chứa thông điệp báo động
và thông tin sẽ được snort sử dụng để kiểm tra xem liệu luật đó có phù hợp (match) với gói tin không
Mô hình:
Snort server: cài phần mềm snort
Windows 2k3: sử dụng phần mềm nmap tiến hành quét port trên máy
snort
1 Cài đặt Snort
1.1 Cài các gói yêu cầu sau
Trang 2- Lần lượt cài các gói phụ thuộc:
- mysql
- mysql-bench
- mysql-server
- mysql-devel
- yum-utils
- php-mysql
- httpd
- gcc
- pcre-devel
- php-gd
- gd
- distcache-devel
- mod_ssl
- glib2-devel
- gcc-c++
- libpcap-devel
- php
- php-pear
Trường hợp các hàm thư viện và các gói phần mềm cần thiết chưa được cài bạn có thể thực hiệc các bước sau cho nhanh:
b1 tạo thư mục trong root:
mkdir media/CentOS
b2 mount dvd vào thư mục:
mount dev/cdrom /media/CentOS
b3 import key PGP:
rpm import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5
b4 cài đặt yum với 4 gói sau đây:
yum disablerepo=\* enablerepo=c5-media groupinstall "Development Tools"
yum disablerepo=\* enablerepo=c5-media groupinstall "Development Libraries"
yum disablerepo=\* enablerepo=c5-media groupinstall "MySQL
Database"
Sau đó kiểm tra nếu thiếu gói nào thì cài thêm gói đó
1.2 Cài đặt Snort
chép snort vào /snort
cd /soft
Giải nén snort
tar -zxvf snort-2.8.4.1.tar.gz
Trang 3cd snort-2.8.4.1
- Lần lượt thực hiện các sau để cài đặt snort
#./configure with-mysql enable-dynamicplugin
#make
#make install
Trang 41.3 Cấu hình snort
- Tạo các thư mục hoạt động cho snort
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
- Chép các file cấu hình
cd etc/
cp * /etc/snort
- Tạo nhóm & người dùng cho snort
groupadd snort
useradd -g snort snort -s /sbin/nologin
- Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log chown snort:snort /var/log/snort/
2 Cài đặt tập rule cho SNORT
- Tải rule mới nhất từ http://www.snort.org
Trang 5- Giải nén
tar -xzvf snortrules-snapshot-2.8.tar.gz
cd rules
cp * /etc/snort/rules
3 Cấu hình snort
File cấu hình /etc/snort/snort.conf
- Sửa dòng 46
var HOME_NET 192.168.9.0/24
- Sửa dòng 49
var EXTERNAL_NET !$HOME_NET
Sửa dòng:
110: var RULE_PATH /etc/snort/rules
688: output database: log, mysql, user=snort password=123456
dbname=snort host=localhost
Save lại
Thiết Lập Snort khởi động cùng hệ thống:
Tạo một liên kết mềm (symbolic link) của file snort binary đến
/usr/sbin/snort
ln -s /usr/local/bin/snort /usr/sbin/snort
Snort cung cấp các scrip để khởi động trong thư mục rpm/ ; (thư mục giải nén snort)
cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/
cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort
Trang 6Đặt quyền lại cho file snortd :
chmod 755 /etc/init.d/snortd
chkconfig snortd on
service snortd start
Để khởi động snort ở chế độ debug nếu bạn muốn kiểm tra lỗi:
/snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf Quản lý snort bằng webmin:
(bước này có thể bỏ qua làm tiếp phần 4)
- Cài webmin
Log vào Webmin, chọn chức năng Webmin Modules, import thêm Snort module vào Webmin:
Tích hợp snort vào webmin:
chép snort-1.1.wbm vào thư mục bung snort
http:/localhost:10000
Webmin, chọn Webmin Configuration, Webmin Modules, From uploaded file,
Trang 7chỉ đến thư mục chứa snort-1.1.wbm
tiến hành cài đặt
4 Tạo CSDL snort với MySQL
#service mysqld start
Trước tiên ta cần set password cho root trong MySQL
Trang 8#mysqladmin -u root password 123456
#mysql -p
Tạo password cho tài khoản snort
mysql> use mysql;
mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456';
Tạo CSDL cho snort
mysql> create database snort;
mysql> GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost;
mysql> flush privileges;
mysql> exit
Tạo các table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư mục gải nén snort)
mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort
mysql -p
show databases;
use snort;
show tables;
Quan sát các tables
5 Cài đặt BASE và ADODB
Web server và PHP đã cài đặt sẵn ta cần cài thêm vài gói pear cho PHP
cd snort/snort-2.8.4.1
pear install Image_Graph-alpha Image_Canvas-alpha Image_Color
Trang 9Numbers_Roman ; (máy phải online)
Cài đặt ADODB
Tải ADODB tại: http://nchc.dl.sourceforge.net/sourceforge/adodb/
cp adodb480.tgz /var/www/html/
cd /var/www/html/
tar -xzvf adodb480.tgz
Cài BASE
Tải BASE tại: http://nchc.dl.sourceforge.net/sourc e-1.4.2.tar.gz
#cp /snort/base-1.4.4.tar.gz /var/www/html/
#tar -zxvf base-1.4.4.tar.gz
#mv base-1.4.4/ base/
#cd base
#cp base_conf.php.dist base_conf.php
#vi base_conf.php
Sửa các dòng sau:
57 $BASE_urlpath = '/base';
79 $DBlib_path = '/var/www/html/adodb';
101 $alert_dbname = 'snort';
105 $alert_password = '123456';
108 $archive_exists = 1; # Set this to 1 if you have an archive DB
109 $archive_dbname = 'snort';
112 $archive_user = 'snort';
Trang 10113 $archive_password = '123456';
355 $external_whois_link = 'index.php';
382 $external_dns_link = 'index.php';
385 $external_all_link = 'index.php';
Save lại
#service snortd restart
#service httpd restart
6 Kiểm tra
Tại máy win2k3 chạy Nmap, nhập địa chỉ máy Linux 192.168.1.10 để tiến hành do thám
Mở IE truy cập Snort: 192.168.1.10/base
Cửa sổ hiện thị thông tin tóm tắt về các cảnh báo mà Snort bắt được
Trang 11Chọn Most recent 15 Unique Alerts xem 15 cảnh báo gần đây nhất
Chọn Most Frequent 15 Unique Alerts xem thông tin về 5 cảnh báo xảy ra nhiều nhất
Trang 12Source addres: Số lượng host tham gia cuộc tấn công
Trong trường hợp này là 1, chọn số 1
Src IP address: địa chỉ máy thực hiệc cuộc do thám 192.168.1.2