II. GIỚI THIỆU CHUNG VỀ SNORT
3. Cấu hình Snort nâng cao
3.2. Basic Analysis and Security Engine
B.A.S.E cung cấp giao diện dạng Web cho phép truy vấn và phân tích các cảnh báo được thu thập bởi Snort. Nó được hỗ trợ từ cộng đồng Snort với tài liệu đầy đủ, tương thích với database và cung cấp giao diện cuối hoàn chỉnh cho Snort. Nhưng do hoạt động trên nền Web nên còn có hạn chế của nó là làm tăng attack-surface.
Trước tiên ta download B.A.S.E phiên bản mới nhất tại: http://sourceforge.net/projects/secureideas/files/
Giải nén và copy gói tin base-1.4.5.tar.gz vào thư mục gốc của web server c:\wamp\www đã được cài đặt ở phần trên:
Để kiểm tra kết nối cơ sở dữ liệu thông qua giao diện Web ta mở trình soạn văn bản bất kì viết đoạn code sau và lưu thành file test.php
Mở trình duyệt web gõ địa chỉ http://localhost/test.php ta sẽ được thông báo kết quả như sau:
Sau đây tôi sẽ hướng dẫn cụ thể từng bước để cấu hình B.A.S.E trên Windows, nhưng trước hết B.A.S.E yêu cầu phải có thư viện cơ sở dữ liệu trừu tượng ADODB PHP (ở đây ta dùng adodb511) có thể download free tại http://adodb.sourceforge.net/.
Sau khi down về ta copy và giải nén tập tin adodb5 trong thư mục c:\wamp\apps\phpmyadmin3.2.0.1\
Để khởi động lại một số dịch vụ mở rộng, ta bỏ dấu “;” trước các dòng định nghĩa: extension=php_gd2.dll extension=php_mbstring.dll extension=php_mysql.dll extension=php_mysqli.dll extension=php_pdo_mysql.dll extension=php_pdo_pgsql.dll
Sau đó, set lại các giá trị:
mysql.default_port = 3306 mysql.default_host = locallhost mysql.dafault_user = root mysql.default_password = root mysql.trace_mode = On
Tiếp theo là thiết lập tập tin cấu hình B.A.S.E.
Trong thư mục c:\wamp\www\base-1.4.5\ ta sửa tên tập tin base_conf.php.dist thành base_conf.php và bắt đầu cấu hình.
Mở file base_conf.php sau đó xác định lại đường dẫn và các thông tin về cơ sở dữ liệu dựa trên thiết lập tại MySQL như sau:
Ngoài ra, B.A.S.E cũng đòi hỏi một số bảng bổ sung vào sơ sở dữ liệu Snort (mysnort và archive), B.A.S.E cũng cung cấp sẵn cho ta script
Sử dụng lệnh trong mysql để cập nhập tables: Mysql>use mysnort;
Mysql>source c:\wamp\www\base-1.4.5\sql\create_base_tbls_mysql.sql
Giao diện chính của B.A.S.E:
Đây chỉ là cấu hình tối thiểu cần thiết để B.A.S.E có thể chạy được. Để chạy những ứng dụng cao hơn, chúng ta có thể nghiên cứu thêm mà tự sửa đổi tiếp trong file cấu hình của B.A.S.E
3.3.Tự động cập nhật Snort rule với Oinkmaster:
Oinkmaster là 1 Perl script giúp cập nhật và quản lý các rule của Snort, bao gồm các rule chính thức (official VRT rule), các rule được phát triển bởi cộng đồng sử dụng Snort (community rule), các rule được phát triển bởi nhà cung cấp thứ 3….
Đầu tiên chúng ta tải phiên bản mới nhất của Oinkmaster để cài đặt tại: http://oinkmaster.sourceforge.net/download.shtml
Chạy chương trình Oinkmaster GUI ( oinkgui.pl ) từ dấu nhắc lệnh Windows hoặc nhấn đúp chuột vào tập tin từ Windows Explorer.Các tập tin cần được theo đóng góp thư mục phụ.
C: \> Snort \ oinkmaster-2.0 \ contrib> oinkgui.pl
Sau khi cài đặt sẽ xuất hiện thông báo lỗi như sau:
Can't locate Tk.pm in @INC (@INC contains: C:/Perl/site/lib C:/Perl/lib .) at C:\Snort\oinkmaster-2.0\contrib\oinkgui.pl line 45. BEGIN failed--compilation aborted at C:\Snort\oinkmaster-2.0\contrib\oinkgui.pl line 45.
Chúng ta phải update gói Tk bằng cách phát hành các lệnh sau tại dấu nhắc lệnh của Windows (cũng có thể được thực hiện bằng cách sử dụng PPM GUI).
C:\wamp\bin\php\php5.3.0\PEAR>ppm install Tk
Tiếp theo, chạy lại oinkgui.pl từ dấu nhắc lệnh Windows hoặc nhấn đúp chuột vào tập tin từ Windows Explorer.
Hình sau cho thấy giao diện của Oinkmaster GUI. Bây giờ chúng ta có thể sẵn sàng cho những cấu hình cơ bản.
Nhấp chuột trái vào “Required files and directories" tab sẽ xuất hiện 3 dialog boxes cần được cấu hình:
- oinkmaster.pl: c:/snort/oinkmaster-2.0/oinkmaster.pl - oinkmaster.conf: c:/snort/oinkmaster-2.0/oinkmaster.conf - output directory: c:/snort/rules
Nếu bạn cấu hình đúng, các dialog boxes sẽ chuyển qua màu xanh như hình sau:
Tạo thư mục temp trong c:/snort/ dùng để làm backup directory
- Alternate URL: http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode here>/<filename> “với filename” là tên gói tin cần cập nhập, “oinkcode here” là code được cấp khi bạn đăng kí thành viên.
- Variable file: c:/snort/etc:/snort.conf - Backup directory: c:/snort/temp
- Editor: c:/Program Files/Windows NT/Accessories/wordpad.exe
Rules đang được cập nhập
4.Mô hình triển khai: