[Article] Snort với ACID+MySQL |
29/07/2006 04:46:35 (+0700) | #1 | 10752 |
|
tranvanminh
HVA Friend
|
Joined: 04/06/2003 06:36:35
Messages: 516
Location: West coast
Offline
|
|
Snort với ACID+MySQL
Intro
Snort đối với một số người thì nó chỉ là “mất bò mới lo làm chuồng.” Đối vơi tôi thì nó là một cái dụng cụ có ích cho việc làm của mình. Ý tôi là nói khong phải chỉ nhất thiết dành cho việc tìm kiếm, ngăn ngừa hackers, mà nó có thể dành cho việc tìm kiếm những nguyên nhân đang gây ra một chuyện rắc rối nào đó dễ dàng hơn.
Ví dụ như ngày hôm qua cái server có thay đổi một chút làm cho nó không chạy tốt. Tôi có thể nhìn vô Snort log mà biết ai đã xử dụng VNC, telnet, ssh, Terminal Services, PCAnywhere, vv… vô máy đó. Mặc dù không nhất thiết là người này đã làm gì sai, nhưng mình có thể rút ngắn được thời gian tìm ra nguyên nhân bằng cách này.
Hoặc là một hôm tôi tìm thấy có người sử dụng formmail.cgi (version cũ) để gửi spam emails. Snort phát hiện ra IP nào đang bị tấn công và máy đó được chỉnh lại ngay lập tức.
Cho dù firewall có thể ngăn chặn đuoc một số tấn công từ ngòai vào. Tôi vẫn chạy Snort ở trong LAN. Virus/trojans có thể vô bằng nhiều cách khác như emails, web sites, downloads. Snort có thể phát hiện một số lớn.
Installing
Tôi sẽ không đi sâu vào chuyện cài đặt này. Tôi chỉ trình bày qua sơ trên Debian thôi. Nhưng bạn cần nhớ là khi cài Snort từ source thì cần phải có –with-mysql. Trong đây, tôi cho rằng MySQL đã đuoc cài sẵn.
MySQL:
1. Cần database cho Snort.
mysql> create database snort;
SNORT:
Cài đặt Snort trên Debian:
apt-get install snort-mysql
Bạn phải trả lời một số câu hỏi sau:
1. Do you want to continue? [Y/n] Y
2. When should snort be started? boot
3. On which interface should Snort listen? Eth0
4. Please enter the address range that Snort will listen on? blank
5. Should I disable the promiscous mode? No
6. Should snort's rules testing order be changed to Pass|Alert|Log? No
7. If you want to specify custom options to 'snort', please specify them here: blank
8. Who should receive the daily statistics mails? root
9. An alert needs to appear more than this times to go to the stats. 1
Cài đặt Snort trên Fedora hoặc Mandrake:
http://www.snort.org/dl/binaries/linux/
ACID: Acid cần có Apache+PHP đã được cài sẵn.
Cài đặt Acid trên Debian:
apt-get install acidlab
Which web server would you like to reconfigure automatically? apache
Which database would you like to use? mysql
Alert database name: snort
Alert database hostname: localhost
Alert database user: root
Alert database password: <password>
Archive database hostname: localhost
Archive database user: root
Archive database password: <password>
Cài đặt Acid trên Fedora hoặc Mandrake:
http://dag.wieers.com/packages/php-acid/
Configuration
Tìm cái snort.conf. Trong Debian thì bạn sẽ thấy nó ở trong /etc/snort/snort.conf. Trong đó bạn sẽ tìm thấy dòng chữ này:
output database: log, mysql, user=username password=ilikelinux dbname=snort host=localhost
Nếu có ‘#’ ở đằng trước thì xóa nó đi.
Running Snort
Truoc khi chạy Snort, MySQL cần được chạy trước.
/etc/init.d/mysql start
Sau đó chạy Snort
/etc/init.d/snort start
Nếu bạn muốn nhìn alerts trong console thì tìm trong /var/log/snort/alert
tail –f /var/log/snort/alert
Còn nếu bạn muốn nhìn trong browser thì vô http://yourdomain.com/acid
Bạn sẽ thấy những thông báo của Snort trên browser.
Conclusion
Những thông báo này sẽ có thể làm bạn giật mình. Đừng quá lo lắng. Snort thông báo khá chi tiết và đôi khi có thông báo sai lầm (false alarm). Vì vậy, bạn phải cần hiểu rõ là những thông báo nào mình nên nhìn sâu thêm và lọai bỏ đi cái không cần chú ý đến. Tất cả những gì bạn cần sửa đổi sau khi cài đặt là hòan tòan ở trong /etc/snort. Bạn có thể xóa bỏ những rules bạn không muốn thông báo bằng cách edit /etc/snort/*rules
Questions/Comments
foobar@infinipress.com |
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|