Snort với ACID+MySQL

Intro

Snort đối với một số người thì nó chỉ là “mất bò mới lo làm chuồng.” Đối vơi tôi thì nó là một cái dụng cụ có ích cho việc làm của mình. Ý tôi là nói khong phải chỉ nhất thiết dành cho việc tìm kiếm, ngăn ngừa hackers, mà nó có thể dành cho việc tìm kiếm những nguyên nhân đang gây ra một chuyện rắc rối nào đó dễ dàng hơn.


Ví dụ như ngày hôm qua cái server có thay đổi một chút làm cho nó không chạy tốt. Tôi có thể nhìn vô Snort log mà biết ai đã xử dụng VNC, telnet, ssh, Terminal Services, PCAnywhere, vv… vô máy đó. Mặc dù không nhất thiết là người này đã làm gì sai, nhưng mình có thể rút ngắn được thời gian tìm ra nguyên nhân bằng cách này.


Hoặc là một hôm tôi tìm thấy có người sử dụng formmail.cgi (version cũ) để gửi spam emails. Snort phát hiện ra IP nào đang bị tấn công và máy đó được chỉnh lại ngay lập tức.


Cho dù firewall có thể ngăn chặn đuoc một số tấn công từ ngòai vào. Tôi vẫn chạy Snort ở trong LAN. Virus/trojans có thể vô bằng nhiều cách khác như emails, web sites, downloads. Snort có thể phát hiện một số lớn.


Installing


Tôi sẽ không đi sâu vào chuyện cài đặt này. Tôi chỉ trình bày qua sơ trên Debian thôi. Nhưng bạn cần nhớ là khi cài Snort từ source thì cần phải có –with-mysql. Trong đây, tôi cho rằng MySQL đã đuoc cài sẵn.


MySQL:

1. Cần database cho Snort.

mysql> create database snort;

SNORT:


Cài đặt Snort trên Debian:

apt-get install snort-mysql 

Bạn phải trả lời một số câu hỏi sau:

1. Do you want to continue? [Y/n] Y

2. When should snort be started? boot

3. On which interface should Snort listen? Eth0

4. Please enter the address range that Snort will listen on? blank

5. Should I disable the promiscous mode? No

6. Should snort's rules testing order be changed to Pass|Alert|Log? No

7. If you want to specify custom options to 'snort', please specify them here: blank

8. Who should receive the daily statistics mails? root

9. An alert needs to appear more than this times to go to the stats. 1

Cài đặt Snort trên Fedora hoặc Mandrake:

http://www.snort.org/dl/binaries/linux/

ACID: Acid cần có Apache+PHP đã được cài sẵn.



Cài đặt Acid trên Debian:

apt-get install acidlab

Which web server would you like to reconfigure automatically? apache

Which database would you like to use? mysql

Alert database name: snort

Alert database hostname: localhost

Alert database user: root

Alert database password:

Archive database hostname: localhost

Archive database user: root

Archive database password:

Cài đặt Acid trên Fedora hoặc Mandrake:

http://dag.wieers.com/packages/php-acid/


Configuration


Tìm cái snort.conf. Trong Debian thì bạn sẽ thấy nó ở trong /etc/snort/snort.conf. Trong đó bạn sẽ tìm thấy dòng chữ này:

output database: log, mysql, user=username password=ilikelinux dbname=snort host=localhost 

Nếu có ‘#’ ở đằng trước thì xóa nó đi.


Running Snort


Truoc khi chạy Snort, MySQL cần được chạy trước.


/etc/init.d/mysql start


Sau đó chạy Snort


/etc/init.d/snort start


Nếu bạn muốn nhìn alerts trong console thì tìm trong /var/log/snort/alert

tail –f /var/log/snort/alert 

Còn nếu bạn muốn nhìn trong browser thì vô http://yourdomain.com/acid


Bạn sẽ thấy những thông báo của Snort trên browser.


Conclusion

Những thông báo này sẽ có thể làm bạn giật mình. Đừng quá lo lắng. Snort thông báo khá chi tiết và đôi khi có thông báo sai lầm (false alarm). Vì vậy, bạn phải cần hiểu rõ là những thông báo nào mình nên nhìn sâu thêm và lọai bỏ đi cái không cần chú ý đến. Tất cả những gì bạn cần sửa đổi sau khi cài đặt là hòan tòan ở trong /etc/snort. Bạn có thể xóa bỏ những rules bạn không muốn thông báo bằng cách edit /etc/snort/*rules


Questions/Comments

foobar@infinipress.com