Настройка СОВ Snort

Tar -xvf snortrules-snapshot-2.9.x.y.tar.gz.

Установка сигнатур СОВ Snort

Mysql -u root -p.

Настройка СУБД MySQL

Make install clean

Make install clean

Cd daq-2.x.y

Tar -xvf daq-2.x.y.tar.gz

- установить распакованный каталог в качестве текущего:

- осуществить запуск процесса компиляции библиотеки daq:

./configure

Повторить процесс установки для СОВ Snort и ПО barnyard2. Для компиляции ПО barnyard2 использовать команды:

./autogen.sh

./configure --with-mysql

Для хранения зафиксированных событий безопасности СОВ Snort может использовать хранилища различного типа (текстовые файлы, базы данных СУБД MySQL, unixODBC, PostgreSQL, SQL Server, Oracle).

Для того, чтобы СОВ Snort хранила информацию о событиях безопасности в базе данных (БД) СУБД MySQL необходимо:

1. Создать БД snort и пользователя snort с правами INSERT, SELECT, UPDATE, CREATE, DELETE.

Создание БД и пользователя осуществляется с помощью утилиты mysql, запущенной с учетными данными пользователя root. Для ее запуска (пароль пользователя root – passw0rd) необходимо выполнить команду:

После успешного ввода пароля и появления командной строки утилиты mysql («mysql>«) необходимо выполнить следующие команды:

CREATE DATABASE snort;

grant ALL on snort.* to snort@localhost identified by 'sn0rt';

FLUSH PRIVILEGES;

EXIT;

2. Создать в БД snort необходимые для работы СОВ Snort таблицы путем импор-та в БД файла create_mysql:

cat /root/barnyard2-master/schemas/create_mysql | mysql -u snort -D snort -p

Для выполнения данной команды необходимо ввести установленный для пользователя snort пароль.

Сигнатуры предназначены для обнаружения атак в трафике, проходящем через СОВ, на защищаемую ИС.

Для установки сигнатур СОВ Snort необходимо:

1. Распаковать архив с сигнатурами (находится в каталоге /root):

В результате выполнения данной команды будут созданы следующие каталоги:

- doc – содержит описания сигнатур;

- etc – содержит конфигурационные файлы;

- preproc_rules, rules, so_rules – содержит непосредственно сигнатуры СОВ Snort.

2. Создать каталоги для хранения сигнатур, конфигурационных файлов и журналов СОВ Snort:

mkdir -p /etc/snort/rules

mkdir /etc/snort/preproс_rules

mkdir /var/log/snort

mkdir -p /usr/local/lib/snort_dynamicrules

3. Скопировать конфигурационные файлы в папку /etc/snort:

cp /root/etc/* /etc/snort/

cp /root/snort-2.9.x.y/etc/gen-msg.map /etc/snort/

4. Скопировать соответствующие сигнатуры в /etc/snort/rules и /etc/snort/preproc_rules:

cp /root/rules/* /etc/snort/rules/

Основным конфигурационным файлом, хранящем настройки СОВ Snort является файл snort.conf (обычно расположен в каталоге /etc/snort). Для работы СОВ Snort необходимо:

1. Установить значения следующих параметров:

- HOME_NET – значение ANY, если информация должна обрабатываться со всех адресов, или <IP-адрес подсети> (например, 192.168.1.1/24);

- RULE_PATH – значение /etc/snort/rules

- PREPROC_RULE_PATH – значение /etc/snort/preproc_rules

- BLACK_LIST_PATH – закоментировать

- WHITE_LIST_PATH – закоментировать

2. Для осуществления записи зафиксированных событий безопасности в файл журнала в формате unified2 раскомментировать строку # output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types и привести к следующему виду: output unified2: filename snort.log, limit 128.

Дата добавления: 2017-02-01; Просмотров: 77; Нарушение авторских прав?; Мы поможем в написании вашей работы!