English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Cài đặt nhanh hệ thống phát hiện xâm nhập  XML
  [Article]   Cài đặt nhanh hệ thống phát hiện xâm nhập 30/06/2006 04:20:10 (+0700) | #1 | 2235
moonlight123
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 22:23:25
Messages: 23
Offline
[Profile] [PM] [Email]
Cài đặt nhanh hệ thống phát hiện xâm nhập dùng Snort+ACID :

Hướng dẫn cài đặt nhanh hệ thống phát hiện xâm nhập (IDS) trên Linux/Unix sử dụng Snort với cơ sở dữ liệu mysql để lưu log, alert và ACID làm giao diện theo dõi.

* Yêu cầu hệ thống:
- mysql-3.23+ http://www.mysql.org/
- apache-1.3+ http://httpd.apache.org/
- php-4.04+ http://www.php.net/
- snort-1.8.3+ http://www.snort.org/
- acid-0.9.6+ http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html
- adodb-1.2+ http://php.weblogs.com/adodb
- phplot-4.4.6+ http://phplot.sourceforge.net/ (tuỳ chọn để xem các thống kê dạng biểu đồ đưọc vẽ bằng thư viện gd, yêu cầu php phải được biên dịch hỗ trợ gd)

* Giả thiết:
- Hệ thống đã được cài đặt mysql, apache, php và hoạt động tốt (ví dụ RH 7.2).
- Địa chỉ mạng cục bộ cần theo dõi: 192.168.1.0/24

* Cài đặt snort và cấu hình snort.

Download mã nguồn:
http://www.snort.org/dl/snort-1.8.6.tar.gz

# tar zxvf snort-1.8.6.tar.gz
# cd snort-1.8.6
# ./configure --with-mysql=/usr
# make
# make install
# mkdir /etc/snort
# cp *.rules classification.config snort.conf /etc/snort/

Tạo bảng dữ liệu để lưu trữ snort log, alert:

# mysql -u root -p
mysql> create database snort;
mysql> grant INSERT,SELECT on snort.* to snort@localhost identified by '<password>';
mysql> exit
# mysql snort -u root -p < ./contrib/create_mysqlSửa các thông số sau trong file /etc/snort/snort.conf

var HOME_NET 192.168.1.0/24
...
output database: log, mysql, user=snort password=<password> dbname=snort host=localhost
output database: alert, mysql, user=snort password=<password> dbname=snort host=localhostKhởi động snort:
 

# /usr/local/bin/snort -D -d -v -i eth0 -c /etc/snort/snort.conf

* Cài đặt và cấu hình acid

Download mã nguồn:
http://www.andrew.cmu.edu/~rdanyliw/snort/...0.9.6b21.tar.gz
http://phplens.com/lens/dl/adodb190.tgz
http://prdownloads.sourceforge.net/phplot/...ot-4.4.6.tar.gz

Giải nén và đặt adodb, acid vào thư mục con của httpd DocumentRoot:

# cp acid-0.9.6b21.tar.gz /var/www/html
# tar zxvf acid-0.9.6b21.tar.gz
# cp adodb190.tgz /var/www/html
# tar zxvf adodb190.tgz
# cp phplot-4.4.6.tar.gz /var/www/html
# tar zxvf phplot-4.4.6.tar.gz

Kiểm tra xem php có được cấu hình đúng với gd không:
http://locolhost/phplot-4.4.6/examples/test_setup.php

Nếu không xem được các biểu đồ ví dụ, bạn phải xem lại php có được biên dịch với thư viện gd và đã bật hỗ trợ gd trong /etc/php.ini chưa (extension=gd.so).

Tạo bảng dữ liệu để lưu trữ các alert dành riêng cho acid:
# mysql -u root -p
mysql> create database snort_archive;
mysql> grant INSERT,SELECT on snort.* to snort_archive@localhost identified by '<password>';
mysql> exit
# mysql snort -u root -p < create_acid_tbls_mysql.sql

Cấu hình các thông số cần thiết cho acid trong file acid_conf.php

$DBlib_path = "../adodb";

$DBtype = "mysql";

/* Alert DB connection parameters */

$alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "snort";
$alert_password = "<password>";

/* Archive DB connection parameters */

$archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "snort";
$archive_password = "<password>";

$ChartLib_path = "../phplot-4.4.6"; // tuỳ chọn, nếu php hỗ trợ gd

/* File format of charts ('png', 'jpeg', 'gif') */
$chart_file_format = "png";
Để an toàn, nên thiết lập yêu cầu xác thực cho các truy xuất đến thư mục acid trên web server.

File /var/www/html/acid/.htaccess:

AuthName ACID Secure Area
AuthType Basic
AuthUserFile /var/www/html/acid/.htpasswd
Allow from all
<limit GET POST>
require valid-user
</limit> 


File /var/www/html/acid/.htpasswd:
acid:<encrypted password>

Thiết lập browser của bạn cho phép tất cả cookie từ host chạy acid. Hoàn tất quá trình cài đặt và bắt đầu sử dụng acid để theo dõi các hoạt động trên mạng được snort phát hiện:

http://localhost/acid/

* Tham khảo tại :

http://www.snort.org/
http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.htm
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 20/07/2006 12:54:55 (+0700) | #2 | 8258
subnetwork
Member
[Minus]    0    [Plus]
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
[Profile] [PM] [WWW] [Yahoo!]
Ở đoạn này
* Cài đặt snort và cấu hình snort.
Download mã nguồn:
http://www.snort.org/dl/snort-1.8.6.tar.gz
# tar zxvf snort-1.8.6.tar.gz
# cd snort-1.8.6
# ./configure --with-mysql=/usr  


Khi bạn cài đặt Snort (ví dụ trên Fedora Core 4 nếu bạn cài đặt gặp lỗi này
ERROR: unable to find mysql headers (mysql.h)
checked in the following places 


Thì bạn di chuyển đến thư mục chứa Snort và sử dụng .
./configure --with-mysql 


Hoặc bạn download mysql-devel về
http://rpmfind.net/linux/rpm2html/search.php?query=mysql-devel 


Khi đó bạn mới làm các bước tiếp theo được . :wink:
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com
[Up] [Print Copy]
  [Question]   Cài đặt nhanh hệ thống phát hiện xâm nhập 22/07/2006 05:52:56 (+0700) | #3 | 8897
[Avatar]
 hyha
Member
[Minus]    0    [Plus]
Joined: 30/06/2006 11:21:20
Messages: 19
Offline
[Profile] [PM]
Các bác cho em hỏi là tại sao em cài ACID, chạy không có lỗi gì nhưng nó không vẽ được các đồ thị, biểu đồ gì đó được?
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 23/04/2009 05:04:23 (+0700) | #4 | 178144
saurom120584
Member
[Minus]    0    [Plus]
Joined: 22/04/2009 17:13:38
Messages: 1
Offline
[Profile] [PM]
Cả nhà ơi ! Em cài snort trên puppylinux412 ( snort-2.8.0.1.pet ) đặt thành công rồi thì lại chạy và kết quả như sau:
Code:
#snort start
-*> Snort ! <*-
............
................
< !-- cac thong bao cua snort  -->


----------------
A value of 0 will read the pcap until Snort í killed.
ERROR:
Uh, You need to tell me to do something ...
Fata Eroror, Quitting ..


--------> Đoạn thông báo lỗi này làm em đau dầu quá. Mặc dù em vẫn chạy được các chức năng của snort nhung em là một người mới làm quen với thế giới bảo mật nên còn nhiều điều không hiểu.

Code:
snort -c/root/snort-2.8.0.1/etc/snort.conf
.....
<!-----cac thong bao cua snort  ( khá hoàn chỉnh)
với đoạn cuối như sau: -------->
Not Using PCAP_FRAMES


1) Em có một vấn đê muốn các pác chỷ giáo là: các log được snort ghi lại phai dung phần mềm gi mới đọc được ( var/log/snort/snort.alert.1240307739 , var/log/snort/snort.log.1240307739
2) Em muon hoi la nêu như em muôn lưu nhật ký vào mysql ( chạy trong XAMPP1.7) thì phải cấu hình thế nào và việc cụ thể có thể xem kết quả thông qua XAMPP như là Acid không ? ( vì trong xampp cung có chức năng xem đồ thị )
Mong nhận được sự giúp đỡ của mọi người. !
PhamHuy





[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 23/04/2009 08:33:57 (+0700) | #5 | 178159
oss
Member
[Minus]    0    [Plus]
Joined: 24/07/2008 02:15:13
Messages: 15
Location: Hà Nội
Offline
[Profile] [PM] [Email] [Yahoo!]
Em cài snort bản 2.4.5 trên con FC10. Cài ACID + PHPLOT. Chạy http://localhost/acid ngon lành.
Nhưng khi vào Console dùng lệnh : /usr/local/bin/snort -c /etc/snort/snort.conf thì nó chạy được đến một nửa rồi hiện thông báo lỗi Mysql như sau :

database: mysql_error: Duplicate entry '2-1907' for key 1
SQL=INSERT INTO event (sid,cid,signature,timestamp) VALUES ('2', '1907', '37', '2009-04-22 15:28:11.184+-04')




Bác nào có kinh nghiệm làm về cái này giúp em với
Thanks các bác nhiều
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 23/04/2009 13:08:34 (+0700) | #6 | 178181
[Avatar]
 kenshin8x
Member
[Minus]    0    [Plus]
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
[Profile] [PM]

oss wrote:
Em cài snort bản 2.4.5 trên con FC10. Cài ACID + PHPLOT. Chạy http://localhost/acid ngon lành.
Nhưng khi vào Console dùng lệnh : /usr/local/bin/snort -c /etc/snort/snort.conf thì nó chạy được đến một nửa rồi hiện thông báo lỗi Mysql như sau :

database: mysql_error: Duplicate entry '2-1907' for key 1
SQL=INSERT INTO event (sid,cid,signature,timestamp) VALUES ('2', '1907', '37', '2009-04-22 15:28:11.184+-04')




Bác nào có kinh nghiệm làm về cái này giúp em với
Thanks các bác nhiều 

Bạn đã thiết lập mySQL như thế nào? bạn đã phân quyền gì cho tài khoản snort ?
Bạn có thể nói rõ các bước cài đặt snort và MySQL của bạn không?
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 23/04/2009 13:32:28 (+0700) | #7 | 178188
mR.Bi
Member
[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Bạn chạy ps -ax|grep snort xem output nó thế nào?
Có thể có 2 process snort chạy cùng lúc nên gây ra lỗi.

All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 24/04/2009 08:00:30 (+0700) | #8 | 178300
oss
Member
[Minus]    0    [Plus]
Joined: 24/07/2008 02:15:13
Messages: 15
Location: Hà Nội
Offline
[Profile] [PM] [Email] [Yahoo!]
 
Bạn đã thiết lập mySQL như thế nào? bạn đã phân quyền gì cho tài khoản snort ?
Bạn có thể nói rõ các bước cài đặt snort và MySQL của bạn không?  

Em cài đặ tuần tự như sau

Thư mục nguồn của snort trong /usr/src/

Cài snort
Code:
tar zxvf  snort-2.4.5.tar
# cd snort-2.4.5.tar
# ./configure –with-mysql
# make
# make install
# mkdir /etc/snort
# cp *.rules classification.config snort.conf /etc/snort/

Tạo bảng dữ liệu để lưu trữ snort log, alert:
Code:
# mysql -u root -p
mysql> create database snort;
mysql> grant INSERT,SELECT on snort.* to ‘snort’@’localhost’ identified by ‘123456’;
mysql> exit
# mysql snort -u root -p < ./contrib/create_mysql

Sửa các thông số trong file /etc/snort/snort.conf
[code]output database: log, mysql, user=snort password=123456 dbname=snort host=localhost
output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost


Khởi động snort:

Code:
/usr/local/bin/snort -D -d -v -i eth0 -c /etc/snort/snort.conf


Cài acid

Code:
# cp acid-0.9.6b21.tar.gz /var/www/html
# tar zxvf acid-0.9.6b21.tar.gz
# cp adodb190.tgz /var/www/html
# tar zxvf adodb190.tgz
# cp phplot-4.4.6.tar.gz /var/www/html
# tar zxvf phplot-4.4.6.tar.gz


Tạo bảng dữ liệu để lưu trữ các alert dành riêng cho acid
Code:
mysql> create database snort_archive;
mysql> grant INSERT,SELECT on snort.* to ‘snort_archive’@localhost identified by ‘123456’;
mysql> exit
# mysql snort -u root -p < create_acid_tbls_mysql.sql

Cấu hình các thông số cần thiết cho acid trong file acid_conf.php
Code:
$DBlib_path = “../adodb”;$DBtype = “mysql”;/* Alert DB connection parameters */

$alert_dbname = “snort”;
$alert_host = “localhost”;
$alert_port = “”;
$alert_user = “snort”;
$alert_password = “123456”;

/* Archive DB connection parameters */

$archive_dbname = “snort_archive”;
$archive_host = “localhost”;
$archive_port = “”;
$archive_user = “snort”;
$archive_password = “123456”;

$ChartLib_path = “../phplot-4.4.6″; // tuỳ chọn, nếu php hỗ trợ gd

/* File format of charts (’png’, ‘jpeg’, ‘gif’) */
$chart_file_format = “png”;


Đó là toàn bộ các file cấu hình của em trong quá trình cài đặt snort.

Xin các bác chỉ giáo
[Up] [Print Copy]
  [Question]   Re: Cài đặt nhanh hệ thống phát hiện xâm nhập 24/04/2009 09:51:01 (+0700) | #9 | 178308
[Avatar]
 kenshin8x
Member
[Minus]    0    [Plus]
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
[Profile] [PM]
Thứ nhất: Làm theo hướng dẫn của bạn mR.Bi
Thứ hai: Thử set quyền lại cho snort trong MySQL

grant create, insert, select, delete, update on snort.* to snort@localhost;
 

Thân!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|