GIT – là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Bài viết hướng dẫn bạn cài + mysql + base trên Centos. Bài viết dựa trên phiên bản hiện tại, các bạn có thể dùng phiên bản mới hơn.

Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.

Tuy nhiên snort cũng có điểm yếu. Đó là tương tự như các bộ quét virus (virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, các hacker “cao thủ” có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ đó các cuộc tấn công này có thể “qua mặt” được sự giám sát của snort.

Như vậy có thể thấy rằng, để snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho snort. Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó. Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quyét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ thống. Tập luật này có thể được tạo ra bởi người dùng hoặc người dùng có thể truy cập đến trang chủ của snort là: http://www.snort.org  để lấy về.

1. Các gói cần thiết
Apache:

httpd
httpd-tools
httpunit
httpd-manual
mod_ssl

MySQL:

mysql-server
mysql-devel
mysql-libs
php-mysql

PHP:

php
php-devel
php-pdo
php-ldap
php-common
php-pear
php-gd
php-cli

Thực hiện lệnh yum để cài các gói

yum tên-gói-cần-cài

Cài thư viện flex

wget http://prdownloads.sourceforge.net/flex/flex-2.5.36.tar.gz?download
cp flex-2.5.36.tar.gz /usr/local/
cd /usr/local/
tar -xvzf flex-2.5.36.tar.gz
cd flex-2.5.36
./configure
make && make install

Cài thư viện Bison

wget http://ftp.gnu.org/gnu/bison/bison-2.4.1.tar.gz
tar -xvzf bison-2.4.1.tar.gz
cd bison-2.4.1
./configure
make && make install

Cài libpcap từ source: http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz

wget http://www.tcpdump.org/release/libpcap-1.0.0.tar.gz
cp libpcap-1.0.0.tar.gz /usr/local/
cd /usr/local/
tar -xvzf libpcap-1.0.0.tar.gz
cd libpcap-1.0.0
./configure
make && make install

Cài gói PCRE

wget http://sourceforge.net/projects/pcre/files/pcre/7.9/pcre-7.9.tar.gz/download
tar -xvzf pcre-7.9.tar.gz
cd pcre-7.9
./configure
make && make install

Cài gói Libnet

wget http://pkgs.fedoraproject.org/repo/pkgs/libnet/libnet-1.1.2.1.tar.gz/be845c41170d72c7db524f3411b50256/libnet-1.1.2.1.tar.gz
tar -xvzf libnet-1.1.2.1.tar.gz
cd libnet
./configure
make && make install

Note : nếu các bạn không muốn cài từ source có thể cài thêm EPEL ( http://fedoraproject.org/wiki/EPEL ) sau đó thực hiện lệnh yum để cài các gói trên. Đường dẫn có thể khác với máy các bạn, các bạn vui lòng điều chỉnh lại cho phù hợp.

2. Cài Đặt và Cấu hình Snort:

Download daq-1.1.1.tar.gzsnort-2.9.3.tar.gz

tar -xvfz daq-1.1.1.tar.gz

cd daq-1.1.1

./configure

make && make install

tar -xvzf snort-2.9.3.tar.gz
cd snort-2.9.3
./configure
make && make install

Cấu hình
-Tạo thư mục cho Snort:

mkdir /etc/snort
mkdir /etc/snort/rules

-Tạo thư mục cho Snort lưu file log

mkdir /var/log/snort/

-Chép các file cần thiết vào thư mục đã được tạo:

cd /root/snort-2.9.3/etc
cp * /etc/snort/

– Tải rules cho snort từ trang http://www.snort.org/snort-rules/? snortrules-snapshot-2922.tar.gz ( bạn phải có tài khoản để tại rules )

tar -xzvf snortrules-snapshot-2922.tar.gz
cd rules
cp * /etc/snort/rules/

-Tạo một liên kết mềm (symbolic link) của file snort binary đến /usr/sbin/snort, tập tin snort binary nằm ở đường dẫn /usr/local/bin/snort

ln -s /usr/local/bin/snort /usr/sbin/snort

-Tạo một group và user để chạy snort:

groupadd snort
useradd -g snort snort

-Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứa log

chown snort:snort /var/log/snort/
chmod 664 /var/log/snort/alert

3.Chỉnh lại file cấu hình snort.conf:
Thay đổi các dòng sau:

var RULE_PATH ../rules —> var RULE_PATH /etc/snor/rules
output database: log,mysql, user=snort = 123@ABC dbname=snort host=localhost

-Thiết Lập Snort khởi động cùng hệ thống: Snort cung cấp các scrip để khởi động trong thư mục rpm/ trong thư mục xả nén snort.

cd /root/snort-2.9.3/rpm
cp snortd /etc/init.d/
cp snort.sysconfig /etc/sysconfig/snort

-File snort bạn có thể chỉnh lại theo yêu cầu của bạn; interface để snort hoạt động trên interface đó mặcđịnh là eth0, ALERTMODE -có thể để mặc định là fast, BINARY_LOG để mặc định là 1, Hoặc chỉnh trong file cấu hình.
Set quyền lại cho file snortd :

chmod 755 /etc/init.d/snortd
chkconfig snortd on
chkconfig –add /etc/init.d/snortd
chkconfig snortd on

Để xem thêm hướng dẫn về sonrt, các bạn có thể tham khảo trang http://www.snort.org/docs

Tham gia thảo luận bài viết tại forum : http://forum.gocit.vn/threads/cai-snort-mysql-base.299/

Print Friendly

Comments

comments

Bài viết liên quan