Cấu hình OUTPUT

Một phần của tài liệu tài liệu về snort (Trang 54 - 59)

Snort có thể output vào các file log hoặc output ra console, nhiều administrator thích dùng các phần mềm của hãng thứ 3 (third party ) để tăng thêm chức năng giám sát của Snort, các phần mềm data database đều có thể dùng được, lưu ý trước khi cài đặt Snort muốn dùng database nào thì cần chỉ rõ khi cài đặt ví dùng dùng MySQL , khi biên dịch source thêm vào - -mysql

ví dụ: ./configure - - mysql

Output cấu hình theo kiểu

Output alert_syslog : <facility> <priority>

Các option sau là một trong nhưng syslog chuẩn và syslog mặc định là LOG_AUTH LOG_AUTH LOG_AUTHPRIV LOG_DAEMON LOG_LOCAL0 LOG_LOCAL1 LOG_LOCAL2 LOG_LOCAL3 LOG_LOCAL4 LOG_LOCAL5 LOG_LOCAL6 LOG_LOCAL7 LOG_USER

Các option ưu tiên sau cũng là các syslog ưu tiên chuẩn, mặc định là LOG_ALERT LOG_EMERG LOG_ALERT LOG_CRIT LOG_ERR LOG_WARNING LOG_NOTICE LOG_INFO LOG_DEBUG

Đây là câu cấu hình mẫu cho alert_syslog

và câu lệnh này dành cho bản windows của Snort nhìn vào cũng dễ hiểu output alert_syslog: host=192.168.1.100:80 LOG_AUTH LOG_ALERT 2.4.4.2 log_tcpdump

Log này sẽ định dạng sang dạng log_tcpdump, do có rất nhiều phần mềm có thể đọc được dạng log này, khi log sẽ có timestamp đính vào file name

ví dụ: câu lệnh cấu hình

output log_tcpdump /var/log/Snort/tcpdump.out 2.4.4.3 database

Khi log vào database , một khối luơng lớn thông tin của Snort sẽ được lưu trữ như các báo động (alert) , các host liên quan, các packet gây ra báo động, và ta dễ dàng log các báo động thật sự và các báo động lỗi, sai nhanh và nhiều hơn Đôi khi log vào database cũng quá tải gây ra hiện tượng thắt cổ chai dẫn đến 1 alert chỉ có thể được log trong một thời gian. Và phương pháp cấu hình Snort làm sao hợp lý nhất là các kinh nghiệm của các admin sau này ví dụ có thể dùng tuning hoặc thresholding để tạo hiệu quả hơn.

Cấu trúc của câu lệnh output ra database

output database: <log | alert>,<database type>,<parameter list>

Câu lệnh trên nhìn vào ta có thể hiểu ngay được ý nghĩa của nó, còn <parameter list> bao gồm các phần sau :

host

Địa chỉ IP của database server port

dbname=<database name> Loại database ta đang logging user

username Snort sử dụng để log trong database password

Tất nhiên là có user phải có pass để vào rồi sensor_name

Tên của sensor cấu hình, có thể thểm -I trong command line sử dụng IP address thay cho tên

encoding

Sử dụng mã hoá để log vào database, ví dụ kiểu hex,base64,ascii và khuyên dùng ascii

detail

Có thể chỉ định details level nào log vào database, ví dụ dùng full,fast và full được khuyên dùng nhất

Với các loại database cụ thể ta phải biên dịch cho đúng khi cài đặt như đã nói phần trước

CODEMySQL

./configure - -with-mysql POSTGRESQL

ODBC

./configure - -with-odbc MSSQL

Chỉ dùng cho bản windown, dùng odbc để log vào MSMSQL server ORACLE

./configure - -with-oracle

và các log khác ta sẽ coi trong phần khuyến cáo của database kèm theo 2.4.5 File Inclusion

Trong file Snort.conf, câu lệnh include chỉ cho Snort đọc các file sau từ include được lưu trong filesystem của Snort sensor, giống như trong lập trình vậy ví dụ :

$ include $RULE_PATH/bad-traffic.rules $ include $RULE_PATH/exploit.rules $ include $RULE_PATH/scan.rules

Các rules trên ta có thể download trên internet, khi down về ta muốn phân nhóm hoặc chỉnh sửa,độ ưu tiên các rules ta có thể cấu hình trong file

classification.config, file reference.config gồm các links tới web site với các thông tin cho tất cả các alerts, include nó rất hữu tích , nhanh gọn

ví dụ:

# include classification & priority settings include classification.config

# include reference systems include reference.config HVA

Một phần của tài liệu tài liệu về snort (Trang 54 - 59)

Tải bản đầy đủ (DOCX)

(59 trang)
w