Snort нормально работает переходим к настройке вывода собранной информации в базу данных. В качестве СУБД будем использовать MySQL. При сборке Snort с параметром «-DWITH_MYSQL» параллельно будет установлен и клиент MySQL:
# mysql
mysql Ver 14.12 Distrib 5.0.75, for portbld-freebsd7.1 (i386) using 5.2
Используется версия 5.0, поэтому для установки следует выбрать сервер MySQL с таким же номером, иначе сборка закончится неудачей:
# cd /usr/ports/databases/mysql50-server
# make install clean
# /usr/local/bin/mysql_install_db
# cp /usr/local/share/mysql/my-medium.cnf /etc/my.cnf
Запускаем:
# echo 'mysql_enable="YES"' >> /etc/rc.conf
# /usr/local/etc/rc.d/mysql-server start
Проверяем его работу:
# sockstat -l
mysql mysqld 42648 10 tcp4 *:3306 *:*
mysql mysqld 42648 12 stream /tmp/mysql.sock
Устанавливаем пароль админа MySQL:
# /usr/local/bin/mysqladmin -u root password newpassword
Создаем новую базу данных snort и даем пользователю с таким же именем все права:
# mysql -u root -p
mysql> CREATE DATABASE snort;
mysql> GRANT ALL PRIVILEGES ON snort.* TO 'snort'@'localhost' IDENTIFIED BY 'snortpassword';
mysql> FLUSH PRIVILEGES;
mysql> quit;
Наполняем базу при помощи предоставленного разработчиками шаблона:
# mysql -u snort -psnortpassword snort < /usr/local/share/examples/snort/create_mysql
Теперь подключаем вывод Snort к MySQL, добавив в snort.conf всего одну строку:
# ee /usr/local/etc/snort/snort.conf
output database: log, mysql, user=snort password=snortpassword dbname=snort host=localhost
Перезапускаем Snort:
# /usr/local/etc/rc.d/snort restart
Теперь, когда Snort производит анализ трафика и записывает результат в базу MySQL, самое время установить систему анализа BASE.
Собираем BASE
Для Snort в разное время было создано большое количество программ для анализа собранной информации, одной из самых удобных и популярных является BASE (Basic Analysis and Security Engine, base.secureideas.net), основой которого послужил ACID (Analysis Console for Intrusion Databases). Сам ACID долгое время не развивается и в настоящее время исключен из дерева портов. BASE является набором PHP скриптов, при помощи которых создается веб-страница. Поэтому для его работы потребуется веб-сервер с поддержкой PHP. Для работы с BASE нужно иметь несколько дополнительных средств — adoDB, GD, PEAR и Image_Graph. Все это нужно будет отметить по ходу установки:
# cd /usr/ports/security/base
# make install clean
По окончании все скрипты будут помещены в каталог /usr/local/www/base. Задаем нужные права:
# chown -R www:www /usr/local/www/base
Теперь открываем браузер, переходим на страницу http://snortserver/base и начинаем процесс настройки. Вначале скрипт проверит возможность записи в каталог /usr/local/www/base, версию PHP и уровень журналирования PHP.
Если по всем пунктам получаем положительный результат, идем к первому шагу, где выбираем язык и указываем путь к adoDB (во фре — /usr/local/share/adodb).
Следующий этап — указываем параметры доступа к базе snort (Database type = MySQL, Database name = snort, Database Host = localhost, Database username = snort, Database Password = snortpassword).
Далее, если требуется аутентификация, указываем логин и пароль, или, отметив «Use Authentication System», используем системные учетные записи. На последнем шаге, нажав «Create BASE AG», создаем базу.
Теперь переходим на http://snortserver/base и, отбирая критерии, просматриваем информацию, полученную из записей Snort — список обнаруженных атак и их источников, системы, на которые они направлены, топ атак и так далее.
Интерфейс BASE очень прост и локализован, поэтому в его освоении не должно возникнуть проблем.
Компания «ФабрикСтрой» выполняет строительные и отделочные работы в Казани, обеспечивая полный комплекс строительных услуг.