Tải bản đầy đủ - 0 (trang)
2 Mô tả yêu cầu

2 Mô tả yêu cầu

Tải bản đầy đủ - 0trang

3.3 Cài đặt Snort

- Cài đặt thêm các gói hỗ trợ cho Web

[root@localhost ~]# yum install -y mysql-server mysql-bench mysql-devel

httpd php php-mbstring php=devel php-mysql php-pear gcc pcre-devel php-gd gd

glib2-devel gcc-c++ libpcap libpcap-devel flex bison

- Cấu hình firewall, tắt các dịch vụ không cần thiết, bật httpd và mysql

[root@localhost ~]# setup

Chọn Firewall configuration, chọn Customize. Tích vào các ơ:

- SSH

- WWW (HTTP)

- Secure WWW (HTTPS)

Sau đó ấn Close rồi OK. Tiếp theo chọn System services. Tích vào các ơ:

- Acpid

- Atd

- Auditd

- Cpuspeed

- Crond

- Firstboot

- Haldaemon

- Httpd

- Ip6tables

- Iptables

- Irqbalance

- Lvm2-monitor

- Messagebus

- Mysqld

- Network

Sau đó ấn OK rồi ấn tiếp Quit

- Khởi động httpd và mysql

[root@localhost ~]# chkconfig mysqld on

[root@localhost ~]# chkconfig httpd on

[root@localhost ~]# service mysqld start

[root@localhost ~]# service httpd start

Máy sẽ thông báo Starting MySQL [OK] và Starting httpd [OK].

- Update hệ thống.

30



[root@localhost ~]# yum -y update

- Sửa file sshd_conf

[root@localhost ~]# nano /etc/ssh/sshd_config

Trong file sshd_config sửa:

PermitRootLogin yes thành PermitRootLogin no

#PermitEmptyPasswords no thành PermitEmptyPasswords no

Tiếp theo ấn Ctrl+x enter chọn tiếp y (yes) để lưu lại.

- Chuẩn bị các phần mềm sau để cài Snort:

Libpcap-1.0.0.tar.gz

Snortrules-snapshot-2953.tar.gz

Libdnet-1.12.tgz

Adodb511.tgz

Daq-2.0.0.tar.gz

Base-1.3.9.tar.gz

Snort-2.8.4.1.tar.gz

Tất cả để trong thư mục /root/snortinstall

- Giải nén và cài đặt libdnet-1.12.tgz

[root@localhost snortinstall]# tar -zxvf libdnet-1.12.tgz

[root@localhost snortinstall]# cd libdnet-1.12

[root@localhost libdnet-1.12]# ./configure --prefix=/usr/local/snort

-bindir=/usr/local/bin/ [root@localhost libdnet-1.12]# make && make install

- Chuyển về thư mục /snortinstall, giải nén và cài đặt gói

libpcap1.0.0.tar.gz

[root@localhost libdnet-1.12]# cd ..

[root@localhost snortinstall]# tar -zxvf libpcap-1.0.0.tar.gz

[root@localhost snortinstall]# cd libpcap-1.0.0

[root@localhost libpcap-1.0.0]# ./configure --prefix=/usr/local/snort/

--bindir=/usr/local/bin/

[root@localhost libpcap-1.0.0]# make&& make install

- Chuyển về thư mục /snortinstall, giải nén và cài đặt gói daq2.0.0.tar.gz

[root@localhost libpcap-1.0.0]# cd ..

[root@localhost snortinstall]# tar -zxvf daq-2.0.0.tar.gz

[root@localhost snortinstall]# cd daq-2.0.0



31



[root@localhost daq-2.0.0]# ./configure -prefix=/usr/local/snort/include/

--with-libpcapincludes=/usr/local/snort/include/ --withlibpcaplibraries=/usr/local/snort/lib --enable-static

[root@localhost daq-2.0.0]# make&& make install

- Tạo người dùng và nhóm người dùng cho Snort

[root@localhost daq-2.0.0]# groupadd snort

[root@localhost daq-2.0.0]# useradd -g snort -d /etc/snort -M -s /sbin/nologin

snort

- Chuyển về thư mục /snortinstall và tiến hành giải nén, cài đặt

snort2.4.8.1.tar.gz

[root@localhost daq-2.0.0]# cd ..

[root@localhost snortinstall]# tar -zxvf snort-2.8.4.1.tar.gz

[root@localhost snortinstall]# cd snort-2.8.4.1

[root@localhost snort-2.8.4.1]# ./configure --with-mysql

--enabledynamicplugin

[root@localhost snort-2.8.4.1]# make&& make install

- Tạo thư mục chứa snort, rules, so_rules, log cho snort

[root@localhost snort-2.8.4.1]# mkdir /etc/snort

[root@localhost snort-2.8.4.1]# mkdir /etc/snort/rules

[root@localhost snort-2.8.4.1]# mkdir /etc/snort/so_rules

[root@localhost snort-2.8.4.1]# mkdir /var/log/snort

Cho phép người dùng “snort” có thể ghi log vào /var/log/snort

[root@localhost snort-2.8.4.1]# chown snort:snort /var/log/snort

Copy tất cả file trong /root/snortinstall/snort-2.8.4.1/etc tới /etc/snort

[root@localhost snort-2.8.4.1]# cd etc/

[root@localhost etc]# cp * /etc/snort/ Giải nén rules

[root@localhost etc]# cd /root/snortinstall/

[root@localhost snortinstall]# ls

root@localhost snortinstall]# tar zxvf snortrules-snapshot2953.tar.gz

[root@localhost snortinstall]# ls

[root@localhost snortinstall]# cd rules/

Copy tất cả file …/rules tới /etc/snort/rules

[root@localhost snortinstall]# cd so_rules/precompiled/Centos54/i386/2.9.5.3/ [root@localhost 2.9.5.3]# cp * /etc/snort/so_rules/

- Cấu hình file snort.conf

32



[root@localhost ~]# nano /etc/snort/snort.conf

Trong file snort.conf sửa:

var RULE_PATH ../rules thành var RULE_PATH /etc/snort//rules

Thêm dòng:

var SO_RULE_PATH etc/snort/so_rules

Tiếp tục sửa:

# output database: log, mysql, user=root password=test dbname=db

host=localhost

# output database: alert, postgresql, user=snort dbname=snort

# output database: log, odbc, user=snort dbname=snort

# output database: log, mssql, dbname=snort user=snort password=test

# output database: log, oracle, dbname=snort user=snort password=test

Thành:

output database: alert, mysql, user=snort password=123456 dbname=snort

host=localhost

Thêm dưới dòng Thêm dưới dòng # unified: Snort unified binary format

alerting and logging:

output unified2: filename snort.log, limit 128

- Cấu hình MySQL

[root@localhost ~]# mysql

Đặt mật khẩu cho tài khoản root trong database:

mysql> set password for root@localhost=password('123456');

Tạo database snort:

mysql> create database snort;

mysql> exit

Chèn table cho “snort” lấy từ

/root/snortinstall/snort-2.8.4.1/schemas/create_mysql

[root@localhost ~]# mysql -u root -p -D snort < /root/snortinstall/snort2.8.4.1/schemas/create_mysql

Sau đó nhập password: 123456

[root@localhost ~]# mysql –p

Nhập tiếp password: 123456

mysql> grant create, insert on root.* to snort@localhost;

mysql> set password for snort@localhost=password('123456');

33



mysql> grant create, select, insert, delete, update on snort.* to

snort@localhost;

mysql> show databases;

mysql> exit

- Cài đặt PEAR

[root@localhost ~]# wget http://pear.php.net/go-pear.phar

[root@localhost ~]# php -q go-pear.phar

Chọn 1 để cài đặt. Đánh nơi lưu trữ: Installation base ($prefix) [/usr] :

/usr/local. Sau đó enter chọn y(yes) rồi enter tiếp.

[root@localhost ~]# pear install Numbers_Roman-1.0.2

Numbers_Words0.16.1 Image_Color-1.0.3 Image_Canvas-0.3.2 Image_GraphViz1.3.0RC3 Image_Graph-0.7.2 Log-1.12.0

- Cài Adodb511 và base-1.4.5

[root@localhost ~]# cd snortinstall/ [root@localhost snortinstall]# ls

Giải nén adodb511.tgz vào thư mục /var/www/

[root@localhost snortinstall]# cd /var/www

[root@localhost www]# tar zxvf /root/snortinstall/adodb511.tgz

Đổi tên adodb5 thành adodb:

[root@localhost www]# mv adodb5/ adodb/

Giải nén base-1.3.9.tar.gz vào thư mục /var/www/html

[root@localhost www]# cd html

[root@localhost html]# tar zxvf /root/snortinstall/base-1.3.9.tar.gz

Đổi tên base-1.3.9 thành base

[root@localhost html]# mv base-1.3.9/ base/

[root@localhost html]# cd base/

Copy:

[root@localhost base]# cp base_conf.php.dist base_conf.php

[root@localhost base]# nano base_conf.php

Tại base_conf.php sửa:

$BASE_urlpath = ''; thành $BASE_urlpath = '/base';

$DBlib_path = ''; thành $DBlib_path = '/var/www/adodb';

Sửa:

$alert_dbname = 'snort_log';

$alert_host = 'localhost';

$alert_port = '';

34



$alert_user = 'snort';

$alert_password = 'mypassword';

/* Archive DB connection parameters */

$archive_exists = 0; # Set this to 1 if you have an archive DB

$archive_dbname = 'snort_archive';

$archive_host = 'localhost';

$archive_port = '';

$archive_user = 'snort';

$archive_password = 'mypassword';

Thành:

$alert_dbname = 'snort';

$alert_host = 'localhost';

$alert_port = '';

$alert_user = 'snort';

$alert_password = '123456';

/* Archive DB connection parameters */

$archive_exists = 1; # Set this to 1 if you have an archive DB

$archive_dbname = 'snort';

$archive_host = 'localhost';

$archive_port = '';

$archive_user = 'snort';

$archive_password = '123456';

Sau đó lưu lại. Rồi restart httpd

[root@localhost base]# service httpd restart

Sau khi xong vào Firefox kiểm tra xem đã cài base thành công hay chưa. Trên

thanh địa chỉ đánh localhost/base:



35



Hình 3.2Hiển thị trang base



Hình 3.3 Tạo base



36



Hình 3.4 Thông báo tạo thành công

- Đặt mật khẩu cho việc truy cập vào trang BASE

[root@localhost base]# mkdir /var/www/passwords

[root@localhost base]# /usr/bin/htpasswd -c /var/www/passwords/passwords

base

Đánh hai lần password vừa đặt.

[root@localhost base]# nano /etc/httpd/conf/httpd.conf

Trong file httpd.conf sửa:



Thành:



AuthType Basic

AuthName "Snort"

AuthUserFile /var/www/passwords/passwords

Require user base Rồi lưu lại. Restart httpd

[root@localhost base]# service httpd restart

Truy cập vào base theo đường dẫn: localhosst/base hoặc “địa chỉ IP/base”



37



Hình 3.5 Hệ thống yêu cầu password khi vào trang base

- Tạo quy tắc cho Snort:

Tạo quy tắc thông báo khi có người ping đến server:

[root@localhost base]# nano /etc/snort/rules/ping.rules

Trong file ping.rules thêm nội dung vào như sau:

alert icmp any any <> any any (msg: "Co nguoi dang ping"; sid:10000001;)

Sau đó lưu lại.



Hình 3.6 Chú thích các phần trong rules Snort

Tương tự ta tạo quy tắc khi có máy Remote Desktop

[root@localhost base]# nano /etc/snort/rules/rdesktop.rules

Thêm nội dung của quy tắc Remote Desktop

alert tcp any any <> any 3389 (msg: "REMOTE DESKTOP"; sid:10000002;)

Ở quy tắc Remote Desktop, giao thức sẽ là TCP và cổng đích là 3389.



38



-



Khai báo các quy tắc mới vào snort.conf

[root@localhost base]# nano /etc/snort/snort.conf

Khai báo các quy tắc ở cuối file:

include $RULE_PATH/ping.rules

include $RULE_PATH/rdesktop.rules

include $RULE_PATH/webaccess.rules

Lưu lại và khởi động Snort.

[root@localhost base]# snort -c /etc/snort/snort.conf -i eth0

3.4 Cấu hình Iptables và chặn tấn công DoS

Mặc định iptables đã được cài sẵn ở trên hệ điều hành Linux và cụ thể ở đây là

hệ điều hành CentOS 6.5. Ở bước cài đặt Snort, trong phần cấu hình firewall và

system service chúng ta cũng đã bật chế độ iptables.

Để thiết lập cho iptables có chức năng tấn công DoS chúng ta sẽ chỉnh sửa file

cấu hình trong iptables.

[root@localhost ~]# nano /etc/sysconfig/iptables

Thêm vào dóng sau:

-A INPUT -m state --state RELATED,ESTABLISHED -m limit --limit 5/sec

-limit-burst 5 -j ACCEPT

-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 5/s

--limit-burst 5 -j ACCEPT

-A INPUT –j LOG

-A INPUT –j DROP

-A FORWARD –j DROP

Ở đây chúng ta thiết lập iptables hạn chế chỉ cho tốc độ truyền gói tin trung

bình tối đa là 5/sec (giây) (-limit 5/sec) và số lượng gói tin khởi tạo tối đa được

phép là 5 (-limit-burst 5). Sau đó lưu lại và khởi động lại dịch vụ Web httpd và

iptables:

[root@localhost ~]# service httpd restart

[root@localhost ~]# service iptables restart

3.5 Demo kết quả

a. Demo hệ thống cảnh báo Snort khi có máy ping đến

Máy Client với địa chỉ IP là 192.168.1.20 ping đến Server Snort có địa chỉ IP

192.168.1.2



39



Hình 3.7 Địa chỉ IP máy Client



Hình 3.8 Máy client ping đến địa chỉ IP của Server Snort

Hệ thống Snort phát hiện có máy đang ping đến server và thơng báo có máy

đang ping tới Server. Với nội dung thông báo, ngày giờ, địa chỉ máy bị ping là

server với ip 192.168.1.2, địa chỉ máy ping với ip 192.168.1.20 và giao thức ICMP.



40



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

2 Mô tả yêu cầu

Tải bản đầy đủ ngay(0 tr)

×