Подключаем запись Snort к MySQL и BASE в FreeBSD

0
0

Snort нормально работает переходим к настройке вывода собранной информации в базу данных. В качестве СУБД будем использовать MySQL. При сборке Snort с параметром «-DWITH_MYSQL» параллельно будет установлен и клиент MySQL:

# mysql
mysql Ver 14.12 Distrib 5.0.75, for portbld-freebsd7.1 (i386) using 5.2

Используется версия 5.0, поэтому для установки следует выбрать сервер MySQL с таким же номером, иначе сборка закончится неудачей:

# cd /usr/ports/databases/mysql50-server
# make install clean
# /usr/local/bin/mysql_install_db
# cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf

Запускаем:

# echo 'mysql_enable="YES"' >> /etc/rc.conf
# /usr/local/etc/rc.d/mysql-server start

Проверяем его работу:

# sockstat -l
mysql mysqld 42648 10 tcp4 *:3306 *:*
mysql mysqld 42648 12 stream /tmp/mysql.sock

Устанавливаем пароль админа MySQL:

# /usr/local/bin/mysqladmin -u root password newpassword

Создаем новую базу данных snort и даем пользователю с таким же именем все права:

# mysql -u root -p
mysql> CREATE DATABASE snort;
mysql> GRANT ALL PRIVILEGES ON snort.* TO 'snort'@'localhost' IDENTIFIED BY 'snortpassword';
mysql> FLUSH PRIVILEGES;
mysql> quit;

Наполняем базу при помощи предоставленного разработчиками шаблона:

# mysql -u snort -psnortpassword snort < /usr/local/share/examples/snort/create_mysql

Теперь подключаем вывод Snort к MySQL, добавив в snort.conf всего одну строку:

# ee /usr/local/etc/snort/snort.conf
output database: log, mysql, user=snort password=snortpassword dbname=snort host=localhost

Перезапускаем Snort:

# /usr/local/etc/rc.d/snort restart

Теперь, когда Snort производит анализ трафика и записывает результат в базу MySQL, самое время установить систему анализа BASE.

Собираем BASE

Для Snort в разное время было создано большое количество программ для анализа собранной информации, одной из самых удобных и популярных является BASE (Basic Analysis and Security Engine, base.secureideas.net), основой которого послужил ACID (Analysis Console for Intrusion Databases). Сам ACID долгое время не развивается и в настоящее время исключен из дерева портов. BASE является набором PHP скриптов, при помощи которых создается веб-страница. Поэтому для его работы потребуется веб-сервер с поддержкой PHP. Для работы с BASE нужно иметь несколько дополнительных средств — adoDB, GD, PEAR и Image_Graph. Все это нужно будет отметить по ходу установки:

# cd /usr/ports/security/base
# make install clean

По окончании все скрипты будут помещены в каталог /usr/local/www/base. Задаем нужные права:

# chown -R www:www /usr/local/www/base

Теперь открываем браузер, переходим на страницу http://snortserver/base и начинаем процесс настройки. Вначале скрипт проверит возможность записи в каталог /usr/local/www/base, версию PHP и уровень журналирования PHP.
base-01

Если по всем пунктам получаем положительный результат, идем к первому шагу, где выбираем язык и указываем путь к adoDB (во фре — /usr/local/share/adodb).
base-02

base-03

Следующий этап — указываем параметры доступа к базе snort (Database type = MySQL, Database name = snort, Database Host = localhost, Database username = snort, Database Password = snortpassword).
base-04
Далее, если требуется аутентификация, указываем логин и пароль, или, отметив «Use Authentication System», используем системные учетные записи. На последнем шаге, нажав «Create BASE AG», создаем базу.
base-05
Теперь переходим на http://snortserver/base и, отбирая критерии, просматриваем информацию, полученную из записей Snort — список обнаруженных атак и их источников, системы, на которые они направлены, топ атак и так далее.
base-06

base-07
Интерфейс BASE очень прост и локализован, поэтому в его освоении не должно возникнуть проблем.
Строительные и отделочные работы в Казани
Компания «ФабрикСтрой» выполняет строительные и отделочные работы в Казани, обеспечивая полный комплекс строительных услуг.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *