Snort нормально работает переходим к настройке вывода собранной информации в базу данных. В качестве СУБД будем использовать MySQL. При сборке Snort с параметром «-DWITH_MYSQL» параллельно будет установлен и клиент MySQL:

# mysql
mysql Ver 14.12 Distrib 5.0.75, for portbld-freebsd7.1 (i386) using 5.2

Используется версия 5.0, поэтому для установки следует выбрать сервер MySQL с таким же номером, иначе сборка закончится неудачей:

# cd /usr/ports/databases/mysql50-server
# make install clean
# /usr/local/bin/mysql_install_db
# cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf

Запускаем:

# echo 'mysql_enable="YES"' >> /etc/rc.conf
# /usr/local/etc/rc.d/mysql-server start

Проверяем его работу:

# sockstat -l
mysql mysqld 42648 10 tcp4 *:3306 *:*
mysql mysqld 42648 12 stream /tmp/mysql.sock

Устанавливаем пароль админа MySQL:

# /usr/local/bin/mysqladmin -u root password newpassword

Создаем новую базу данных snort и даем пользователю с таким же именем все права:

# mysql -u root -p
mysql> CREATE DATABASE snort;
mysql> GRANT ALL PRIVILEGES ON snort.* TO 'snort'@'localhost' IDENTIFIED BY 'snortpassword';
mysql> FLUSH PRIVILEGES;
mysql> quit;

Наполняем базу при помощи предоставленного разработчиками шаблона:

# mysql -u snort -psnortpassword snort < /usr/local/share/examples/snort/create_mysql

Теперь подключаем вывод Snort к MySQL, добавив в snort.conf всего одну строку:

# ee /usr/local/etc/snort/snort.conf
output database: log, mysql, user=snort password=snortpassword dbname=snort host=localhost

Перезапускаем Snort:

# /usr/local/etc/rc.d/snort restart

Теперь, когда Snort производит анализ трафика и записывает результат в базу MySQL, самое время установить систему анализа BASE.

Собираем BASE

Для Snort в разное время было создано большое количество программ для анализа собранной информации, одной из самых удобных и популярных является BASE (Basic Analysis and Security Engine, base.secureideas.net), основой которого послужил ACID (Analysis Console for Intrusion Databases). Сам ACID долгое время не развивается и в настоящее время исключен из дерева портов. BASE является набором PHP скриптов, при помощи которых создается веб-страница. Поэтому для его работы потребуется веб-сервер с поддержкой PHP. Для работы с BASE нужно иметь несколько дополнительных средств - adoDB, GD, PEAR и Image_Graph. Все это нужно будет отметить по ходу установки:

# cd /usr/ports/security/base
# make install clean

По окончании все скрипты будут помещены в каталог /usr/local/www/base. Задаем нужные права:

# chown -R www:www /usr/local/www/base

Теперь открываем браузер, переходим на страницу http://snortserver/base и начинаем процесс настройки. Вначале скрипт проверит возможность записи в каталог /usr/local/www/base, версию PHP и уровень журналирования PHP.

Если по всем пунктам получаем положительный результат, идем к первому шагу, где выбираем язык и указываем путь к adoDB (во фре - /usr/local/share/adodb).

Следующий этап - указываем параметры доступа к базе snort (Database type = MySQL, Database name = snort, Database Host = localhost, Database username = snort, Database Password = snortpassword).

Далее, если требуется аутентификация, указываем логин и пароль, или, отметив "Use Authentication System", используем системные учетные записи. На последнем шаге, нажав "Create BASE AG", создаем базу.

Теперь переходим на http://snortserver/base и, отбирая критерии, просматриваем информацию, полученную из записей Snort - список обнаруженных атак и их источников, системы, на которые они направлены, топ атак и так далее.

Интерфейс BASE очень прост и локализован, поэтому в его освоении не должно возникнуть проблем.

Компания «ФабрикСтрой» выполняет строительные и отделочные работы в Казани, обеспечивая полный комплекс строительных услуг.