Hướng dẫn cài đặt nhanh hệ thống phát hiện xâm nhập (IDS) trên Linux/Unix sử dụng Snort với cơ sở dữ liệu mysql để lưu log, alert và ACID làm giao diện theo dõi.
Cài đặt nhanh hệ thống phát xâm nhập dùng Snort+ACID : trang đọc lần Hướng dẫn cài đặt nhanh hệ thống phát xâm nhập (IDS) Linux/Unix sử dụng Snort với sở liệu mysql để lưu log, alert ACID làm giao diện theo dõi * Yêu cầu hệ thống: - mysql-3.23+ http://www.mysql.org/ - apache-1.3+ http://httpd.apache.org/ - php-4.04+ http://www.php.net/ - snort-1.8.3+ http://www.snort.org/ - acid-0.9.6+ http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html - adodb-1.2+ http://php.weblogs.com/adodb - phplot-4.4.6+ http://phplot.sourceforge.net/ (tuỳ chọn để xem thống kê dạng biểu đồ đưọc vẽ thư viện gd, yêu cầu php phải biên dịch hỗ trợ gd) * Giả thiết: - Hệ thống cài đặt mysql, apache, php hoạt động tốt (ví dụ RH 7.2) - Địa mạng cục cần theo dõi: 192.168.1.0/24 * Cài đặt snort cấu hình snort Download mã nguồn: http://www.snort.org/dl/snort-1.8.6.tar.gz # # # # # # # tar zxvf snort-1.8.6.tar.gz cd snort-1.8.6 /configure with-mysql=/usr make make install mkdir /etc/snort cp *.rules classification.config snort.conf /etc/snort/ Tạo bảng liệu để lưu trữ snort log, alert: # mysql -u root -p mysql> create database snort; mysql> grant INSERT,SELECT on snort.* to snort@localhost identified by ''; mysql> exit # mysql snort -u root -p < /contrib/create_mysql Sửa thông số sau file /etc/snort/snort.conf var HOME_NET 192.168.1.0/24 output database: log, mysql, user=snort password= dbname=snort host=localhost output database: alert, mysql, user=snort password= dbname=snort host=localhost Khởi động snort: # /usr/local/bin/snort -D -d -v -i eth0 -c /etc/snort/snort.conf * Cài đặt cấu hình acid Download mã nguồn: http://www.andrew.cmu.edu/~rdanyliw/snort/acid-0.9.6b21.tar.gz http://phplens.com/lens/dl/adodb190.tgz http://prdownloads.sourceforge.net/phplot/phplot-4.4.6.tar.gz Giải nén đặt adodb, acid vào thư mục httpd DocumentRoot: # # # # # # cp acid-0.9.6b21.tar.gz /var/www/html tar zxvf acid-0.9.6b21.tar.gz cp adodb190.tgz /var/www/html tar zxvf adodb190.tgz cp phplot-4.4.6.tar.gz /var/www/html tar zxvf phplot-4.4.6.tar.gz Kiểm tra xem php có cấu hình với gd không: http://locolhost/phplot-4.4.6/examples/test_setup.php Nếu không xem biểu đồ ví dụ, bạn phải xem lại php có biên dịch với thư viện gd bật hỗ trợ gd /etc/php.ini chưa (extension=gd.so) Tạo bảng liệu để lưu trữ alert dành riêng cho acid: # mysql -u root -p mysql> create database snort_archive; mysql> grant INSERT,SELECT on snort.* to snort_archive@localhost identified by ''; mysql> exit # mysql snort -u root -p < create_acid_tbls_mysql.sql Cấu hình thông số cần thiết cho acid file acid_conf.php $DBlib_path = " /adodb"; $DBtype = "mysql"; /* Alert DB connection parameters */ $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = ""; $alert_user = "snort"; $alert_password = ""; /* Archive DB connection parameters */ $archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = ""; $archive_user = "snort"; $archive_password = ""; $ChartLib_path = " /phplot-4.4.6"; // tuỳ chọn, php hỗ trợ gd /* File format of charts ('png', 'jpeg', 'gif') */ $chart_file_format = "png"; Để an toàn, nên thiết lập yêu cầu xác thực cho truy xuất đến thư mục acid web server File /var/www/html/acid/.htaccess: AuthName ACID Secure Area AuthType Basic AuthUserFile /var/www/html/acid/.htpasswd Allow from all require valid-user File /var/www/html/acid/.htpasswd: acid: Thiết lập browser bạn cho phép tất cookie từ host chạy acid Hồn tất q trình cài đặt bắt đầu sử dụng acid để theo dõi hoạt động mạng snort phát hiện: http://localhost/acid/ * Tham khảo: http://www.snort.org/ http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html ... browser bạn cho phép tất cookie từ host chạy acid Hoàn tất trình cài đặt bắt đầu sử dụng acid để theo dõi hoạt động mạng snort phát hiện: http://localhost/acid/ * Tham khảo: http://www.snort.org/...http://prdownloads.sourceforge.net/phplot/phplot-4.4.6.tar.gz Giải nén đặt adodb, acid vào thư mục httpd DocumentRoot: # # # # # # cp acid-0.9.6b21.tar.gz /var/www/html