Centos, Snort Kurulumu

December 3, 2009 yazan leventersoy

SNORT NEDİR?

KISACA...

SNORT İLE GÜVENLİK ORTAMI OLUŞTURABİLİR, NETWORK ÜZERİNDEKİ PAKETLERİ TAKİP EDEBİLİR, BASİT LOGLAMA YAPABİLİRSİNİZ.

Aşağıdaki servisleri, başlatmaya ihtiyacınız ihtiyacınız olucak. Eğer sisteminizde kurulu değil ise paket kurumları hakkında detaylı bilgi için aşağıdaki linklerde bulunan makaleleri okuyabilirsiniz.

Centos Apache Kurulumu - Centos Mysql Kurulumu

Hemen başlıyalım...

Servislerimizi başlatıyoruz.

chkconfig httpd on

chkconfig mysqld on

service httpd start

service mysqld start

Snortu alalım ve kuruluma geçelim.

// Snort'un en güncel sürümünü siteden indirebilirsiniz. Sürüm bilgisi dökümanda xxx olarak örneklendirilmiştir. http://www.snort.org/

wget http://www.snort.org/dl/current/snortxxxx

tar -xvzf snort-xxxxx.tar.gz

cd snort-xxxxxx

./configure –with-mysql –enable-dynamicplugin

make

make install

groupadd snort

useradd -g snort snort –s /sbin/nologin

Sonra:

mkdir /etc/snort

mkdir /etc/snort/rules

mkdir /var/log/snort

cd etc/ (make not this is not /etc. it is the etc dir under the snort source code)

cp * /etc/snort

Snort Rules (Kuralları) yükleyelim.

wget – latest snort rules

Sonra:
Siz yeni sürümü indirebilirsiniz.

tar –xvzf snortrules-pr-2.4.tar.gz

Tar Ball dan patlayan Rules klasorune geçiş yapalım ve aşağıdaki komutları uygulayalım.

cd snort*

cp * /etc/snort/rules

snort.conf dosyanızı düzenleyin

snort.conf dosyası /etc/snort/snort.conf da bulunur aşağıdaki değişiklikleri kendinize göre yapın.

var HOME_NET 10.0.0.0/24

CIDR hakkında bilginiz yok ise bu adresi ziyaret edin http://www.oav.net/mirrors/cidr.html

var EXTERNAL_NET !$HOME_NET

Bu herşeyin ev neti olmadığını varsayacaktır.

değiştirelim;

preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139 143 445 513 1433

Şimdi sıra geldi Snort'un oturum yönetimi ayarlarını ve loglarını MySQL üzerinde tutmak için gerekli veritabanı ayarlarını yapmaya.

Aşağıdaki Mysql komutlarını uygularken, mysql sifrenizi kendinize gore belirlemeyi unutmayın, çünki ileriki günlerde mysql üzerinden user olusturacaginiz için yada kullanım gerekeceği için şifreniz aklınızda kalmış olur.

output database: log, mysql, user=snort password=yourpassword

dbname=snort host=localhost

Snort u sistem açılışında başlatılması için inet.d ye tanımlayalım.

Dizinimizi /etc/init.d olarak değiştirelim ve...

cd /etc/init.d/

wget http://internetsecurityguru.com/snortinit/snort

chmod 755 snort

chkconfig snort on

Sıra geldi Snort için kullanılacak olan tablo ,veritabanı ayarlarının yer alacağı MySQL ayarlamalarımıza.

mysql -u root -p

create database snort;

grant INSERT,SELECT on root.* to snort@localhost;

SET PASSWORD FOR snort@localhost=PASSWORD(’password_from_snort.conf’);

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;

exit

Aşağıdaki komutu uygulayarak tablolalarınızı oluşturun.

mysql -u root -p < ~/snortinstall/snort-2.6.0/schemas/create_mysql snort

Enter password: Az evvel tanımlamış olduğunuz MySQL şifrenizi girin.

Şimdi ihtiyacımız olan, veritabanının oluşturulup oluşturulmadığını kontrol etmektir.

mysql -u root -p

SHOW DATABASES;

Aşağıdaki gibi bir ekran çıktısı göreceksiniz.

+————+

| Database

+————+

| mysql

| Snort

| test

+————+

ve.. snort tablosuna girelim. listeleyelim

use snort

SHOW TABLES;

+——————+

| Tables_in_snort

+——————+

| data

| detail

| encoding

| event

| icmphdr

| iphdr

| opt

| reference

| reference_system

| schema

| sensor

| sig_class

| sig_reference

| signature

| tcphdr

| udphdr

+——————+

Ekran çıktınız yukarıdaki gibi olucaktır. Yeni sürümlerde farklılık gösterebilir endişe etmeyin.

Mysql den çıkış yapıyoruz;

exit;

Yükleme bölümü

Snort dosyalarının bulunduğu dizine gidiyoruz (cd /root/snortinstall)

Uygun grafik elde etmek için aşağıdaki kodu giriniz.

pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

AdoDB'yi indirin.

wget http://easynews.dl.sourceforge.net/sourceforge/adodb/adodb480.tgz

Bu dosyayı da (/root/snortinstall/) klasörüne indirelim.

 wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.2.6.ta...

wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.2.6.ta...

cd /var/www/

tar -xvzf /root/snortinstall/adodb480.tgz

Base'i yükleyelim ve kuralım

cd /var/www/html

tar –xvzf /root/snortinstall/base-1.2.6.tar.gz

mv base-1.2.6/ base/ 

base_conf.php.dist yi base_conf.php olarak kopyalayalım

cp base_conf.php.dist base_conf.php

“base_conf.php” üzerinde gerekli düzenlemeleri aşağıdaki gibi yapalım.

$BASE_urlpath = “/base”;

$DBlib_path = “/var/www/adodb/ “;

$DBtype = “mysql”;

$alert_dbname = “snort”;

$alert_host = “localhost”;

$alert_port = “”;

$alert_user = “snort”;

$alert_password = “password_from_snort_conf”;

/* Archive DB connection parameters */

$archive_exists = 0; # Set this to 1 if you have an archive DB

Şimdi sıra geldi sensorlere browser erişim izni vermeye.

https://ip_address/base ve cevaplanacak olan sorular.

Aşağıdaki komut ile snort başlıyormu emin olun.

service snort start

Snortun çalışıp çalışmadığını denetleyin.

ps –ef|grep snort.conf

Base yapılandırması , https://ipadresiniz/base

İlk gelen görüntü başlangıc banneri olacaktır.

Setup Page linkini tıklayın, açılan sayfadan Base AG düğmesine basın.

Ve aşağıdaki yönergeleri takip edin.

Gelen sayfanın altında anasayfa göreceksiniz.

Temel dizin güvenliğini httpasswd ile sağlayalım.

mkdir /var/www/passwords

/usr/bin/htpasswd -c /var/www/passwords/passwords base

Httpd.conf u düzenleyin, ben direk conf dan duzenledim. siz kendi www klasorunuz altında yaratabilirsiniz.

httpd.conf u aşağıdaki gibi kendinize göre düzenleyin

Options FollowSymLinks

AllowOverride None

AuthType Basic

AuthName “SnortIDS”

AuthUserFile /var/www/passwords/passwords

Require user base

Snort klasor güvenliği için httpd.conf, dosyayı kaydedin ve apacheyi restart edin, ayarlarınız güncellensin.

service httpd restart

Install Oinkmaster

Oikmaster kurun ki , snort kurallarini otomatik olarak güncellemenizi sağlar ve işler kolaylaşır.

oikmaster scriptini crontab'a ekleyin ki belli araliklarla guncelleme varmi diye kontrol etsin ve gerekli güncellemeleri yapsin.

crontab -e (vi editoru kullanmayi bilmiyorsaniz. Vi editor kullanimi icin burayi okuyabilirsiniz) http://www.belgeler.org/lis/archive-tlkg-lis-7.2.html

15 3 * * * oinkmaster.pl -o /etc/snort/rules

 

Doğan Levent ERSOY www.puzzleonline.org