2.2.1.4. Настройка сов Snort

Основным конфигурационным файлом, хранящем настройки СОВ Snort является файл snort.conf (обычно расположен в каталоге /etc/snort). Для работы СОВ Snort необходимо:

1. Установить значения следующих параметров:

- HOME_NET – значение ANY, если информация должна обрабатываться со всех адресов, или <IP-адрес подсети> (например, 192.168.1.1/24);

- RULE_PATH – значение /etc/snort/rules

- PREPROC_RULE_PATH – значение /etc/snort/preproc_rules

- BLACK_LIST_PATH – закоментировать

- WHITE_LIST_PATH – закоментировать

2. Для осуществления записи зафиксированных событий безопасности в файл журнала в формате unified2 раскомментировать строку # output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types и привести к следующему виду: output unified2: filename snort.log, limit 128.

2.2.1.5. Проверка корректности конфигурационного файла сов Snort

Проверка корректности конфигурационного файла необходима для проверки правильности его синтаксиса.

Для запуска проверки корректности конфигурационного файла СОВ Snort необходимо выполнить следующую команду:

snort -c /etc/snort/snort.conf –T.

В случае успешного завершения будет выведено сообщение «Snort successfully validated the configuration!».

2.2.1.6 Установка и настройка по barnyard2

Программное обеспечение barnyard2 предназначено для преобразования файлов журнала СОВ Snort в различные форматы (в нашем случае данные будут храниться в БД MySQL).

Для работы barnyard2 необходимо:

1. Скопировать конфигурационный файл в каталог /etc/snort

cp /root/barnyard2-master/etc/barnyard2.conf /etc/snort

2. Установить значения следующих параметров в скопированном файле:

- logdir – значение /var/log/snort

- waldo_file – значение /etc/snort/barnyard2-log.waldo

- log_tcpdump – значение tcpdump.log

3. Раскоментировать следующую строку: #config daemon

4. Для осуществления записи зафиксированных событий безопасности в БД MySQL раскомментировать строку # output database: log, mysql, user=root password=test dbname=db host=localhost и привести к следующему виду: output database: log, mysql, user=snort password=sn0rt dbname=snort host=localhost

5. Создать файл barnyard2-log.waldo в каталоге /etc/snort

touch /etc/snort/barnyard2-log.waldo

6. Запустить ПО barnyard2

barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /etc/snort/barnyard2-log.waldo -D

Убедиться, что ПО barnyard2 запущено и работает в фоновом режиме.

2.2.2. Установка и настройка утилиты Basic Analysis and Security Engine

Для установки утилиты BASE необходимо:

- распаковать архив с исходными кодами утилиты (находится в папке /root/Desktop):

tar -xvf base-1.4.5.tar.gz

- переместить исходные коды в каталог /var/www/html:

mv base-1.4.5 /var/www/html/

- изменить владельца папки /var/www/html/base-1.4.5/ на apache:apache:

chown apache:apache /var/www/html/base-1.4.5/

- запустить браузер, перейти по адресу http://<IP_адрес_виртуальной_машины>/base-1.4.5 и произвести пошаговую настройку утилиты BASE, введя данные для следующих параметров:

- path to ADODB – значение /usr/share/php/adodb;

- pick a database type – значение MySQL;

- Database Name – значение, заданное в п. 2.2.1.2;

- Database User Name – значение, заданное в п. 2.2.1.2;

- Database Password – значение, заданное в п. 2.2.1.2.

На данном этапе создание базовой конфигурации завершено. Созданная архитектура в составе СОВ Snort, СУБД MySQL и утилиты BASE позволяет осуществлять регистрацию событий безопасности, их просмотр и сохранение с целью дальнейшего анализа, добавление новых или удаление старых правил СОВ Snort и т.д.