2.2. Порядок выполнения работы

ВНИМАНИЕ! Перед выполнением работы необходимо узнать IP-адрес виртуальной машины и проверть работоспособность сервисов sshd, mysqld и httpd!

Для этого необходимо:

1. Запустить виртуальную машину.

2. Осуществить вход в систему с учётной записью root (пароль passw0rd).

3. Выяснить IP-адрес машины с помощью команды ipconfig;

4. Проверить сетевое взаимодействие между физической и виртуальными машинами командой ping <IP_адрес_виртуальной_машины>.

5. Командами service sshd status, service mysqld status и service httpd status проверить работу соотвествующих сервисов.

2.2.1. Установка и настройка сов Snort

2.2.1.1. Установка сов Snort, библиотеки daq и по barnyard2

Для выполнения лабораторного практикума необходимо произвести установку СОВ Snort, библитеки daq и программного обеспечения barnyard2. Для этого необходимо:

- распаковать архив с исходным кодом библиотеки daq (находится в каталоге /root):

tar -xvf daq-2.x.y.tar.gz

- установить распакованный каталог в качестве текущего:

cd daq-2.x.y

- осуществить запуск процесса компиляции библиотеки daq:

./configure

make install clean

Повторить процесс установки для СОВ Snort и ПО barnyard2. Для компиляции ПО barnyard2 использовать команды:

./autogen.sh

./configure --with-mysql

make install clean

2.2.1.2. Настройка субд MySql

Для хранения зафиксированных событий безопасности СОВ Snort может использовать хранилища различного типа (текстовые файлы, базы данных СУБД MySQL, unixODBC, PostgreSQL, SQL Server, Oracle).

Для того, чтобы СОВ Snort хранила информацию о событиях безопасности в базе данных (БД) СУБД MySQL необходимо:

1. Создать БД snort и пользователя snort с правами INSERT, SELECT, UPDATE, CREATE, DELETE.

Создание БД и пользователя осуществляется с помощью утилиты mysql, запущенной с учетными данными пользователя root. Для ее запуска (пароль пользователя root – passw0rd) необходимо выполнить команду:

mysql -u root -p.

После успешного ввода пароля и появления командной строки утилиты mysql («mysql>«) необходимо выполнить следующие команды:

CREATE DATABASE snort;

grant ALL on snort.* to snort@localhost identified by 'sn0rt';

FLUSH PRIVILEGES;

EXIT;

2. Создать в БД snort необходимые для работы СОВ Snort таблицы путем импор-та в БД файла create_mysql:

cat /root/barnyard2-master/schemas/create_mysql | mysql -u snort -D snort -p

Для выполнения данной команды необходимо ввести установленный для пользователя snort пароль.

2.2.1.3. Установка сигнатур сов Snort

Сигнатуры предназначены для обнаружения атак в трафике, проходящем через СОВ, на защищаемую ИС.

Для установки сигнатур СОВ Snort необходимо:

1. Распаковать архив с сигнатурами (находится в каталоге /root):

tar -xvf snortrules-snapshot-2.9.x.y.tar.gz.

В результате выполнения данной команды будут созданы следующие каталоги:

- doc – содержит описания сигнатур;

- etc – содержит конфигурационные файлы;

- preproc_rules, rules, so_rules – содержит непосредственно сигнатуры СОВ Snort.

2. Создать каталоги для хранения сигнатур, конфигурационных файлов и журналов СОВ Snort:

mkdir -p /etc/snort/rules

mkdir /etc/snort/preproс_rules

mkdir /var/log/snort

mkdir -p /usr/local/lib/snort_dynamicrules

3. Скопировать конфигурационные файлы в папку /etc/snort:

cp /root/etc/* /etc/snort/

cp /root/snort-2.9.x.y/etc/gen-msg.map /etc/snort/

4. Скопировать соответствующие сигнатуры в /etc/snort/rules и /etc/snort/preproc_rules:

cp /root/rules/* /etc/snort/rules/