SnortConsole » Cronologia » Versione 5
Versione 4 (Amministratore Truelite, 08-03-2006 15:43) → Versione 5/6 (Amministratore Truelite, 08-03-2006 15:43)
[[TracNav(TOC)]] h1. = Installare una console web per SNORT = Il primo passo è installare i relativi pacchetti, purtroppo Debian al momento prevede come unico pacchetto di console "ACID":http://acidlab.sourceforge.net [http://acidlab.sourceforge.net ACID] (nel pacchetto acidlab) che è assolutamente datato e non più mantenuto. Il progetto è stato sostituito da "BASE":http://secureideas.sourceforge.net/, [http://secureideas.sourceforge.net/ BASE], che ha il grosso svantaggio di non essere pacchettizzato, e va pertanto installato a mano. L'uso di una console permette di utilizzare più macchine su cui si è installato SNORT per raccogliere dati (i cosiddetti sensori) che vengono inviati ad un database centrale, sul quale è disponibile poi anche la console via web che ne permette l'analisi. Installazione ed impostazione di [[MySQL]] MySQL Il primo passo è allora quello di installare e configurare sulla macchina su cui girerà la console un opportuno database, perché questo possa raccogliere i dati inviati dai vari sensori su cui gira SNORT, nel caso utilizzeremo [[MySQL]], MySQL, per Debian tutto quel che serve è: <pre> {{{ apt-get install mysql-server </pre> }}} che provvede ad installare il necessario. La configurazione di default di Debian prevede che il server ascolti solo in locale, a noi però serve che sia raggiungibile via rete, per questo occore commentare la riga: <pre> {{{ #bind-address = 127.0.0.1 </pre> }}} e riavviare il server. Una volta installato il server deve essere creato un utente ed un database ad uso di SNORT, questo può essere fatto o traminte un programma di amministrazione ad interfaccia grafica come _mysql-admin_ ''mysql-admin'' o a mano con l'uso del comando _mysql_. ''mysql''. Dovendo compiere operazioni amministrative occorre collegarsi come root del database, se non si è precedentemente impostata una password si provveda a farlo subito con: <pre> {{{ /usr/bin/mysqladmin -u root password mypassword </pre> }}} e a questo punto ci si potrà collegare con il comando: <pre> {{{ piccardi@monk:~$ mysql -u root -p Enter password: Welcome to the [[MySQL]] MySQL monitor. Commands end with ; or \g. Your [[MySQL]] MySQL connection id is 7 to server version: 4.0.24_Debian-2-log Type 'help;' or '\h' for help. Type '\c' to clear the buffer. mysql> </pre> }}} dove in corrispondenza ad Enter password: si è immessa la password precedentemente impostata. Per poter usare SNORT con [[MySQL]] MySQL il primo passo è creare il database i dati ad esso relativi, questo, una volta entrati nella console di [[MySQL]], MySQL, si fa con l'istruzione: <pre> {{{ mysql> CREATE DATABASE snort; Query OK, 1 row affected (0.00 sec) </pre> }}} dopo di che occorre dare accesso ad un utente per la scrittura sul suddetto database; questo si fa con l'istruzione: <pre> {{{ mysql> use snort; Database changed mysql> grant INSERT,SELECT,UPDATE on snort.* to snort identified by "mypass"; Query OK, 0 rows affected (0.00 sec) </pre> }}} Devono poi essere create le tabelle per gli allarmi ed i dati di SNORT, in questo caso il pacchetto Debian prevede uno apposito script da eseguire, questo si può fare direttamente a riga di comando con: <pre> {{{ cd /usr/share/doc/snort-mysql/ zcat create_mysql.gz | mysql -u root -h localhost -p snort </pre> }}} Configurazione di SNORT Una volta fatto questo l'infrastruttura sul database è predisposta; occorre configuarare SNORT per la registrazione; questo richiede, in caso di Debian, l'installazione del pacchetto _snort-mysql_ ''snort-mysql'' che supporta il logging su [[MySQL]], MySQL, che è pure quello che contiene lo script di generazione delle tabelle usato in precedenza. Installandolo debconf richiederà, oltre le solite indicazioni riguardo l'interfaccia da usare e la rete su cui ci si trova, l'indicazione dei dati del database su cui effettuare la registrazione, andrà indicato il server (per nome, nel caso aggiungere la risoluzione su _/etc/hosts_) ''/etc/hosts'') del database e dell'utente e relativa password che assumeranno i valori impostati in precedenza. Questo farà sì che nel file di configurazione _/etc/snort/snort.conf_ ''/etc/snort/snort.conf'' compaiano le opportune righe di impostazione per l'uscita dei dati, nella forma: <pre> {{{ output database: log, mysql, user=snort password=mypass dbname=snort host=logger output database: alert, mysql, user=snort password=mypass dbname=snort host=logger </pre> }}} (la seconda riga si è aggiunta per inserire pure gli allarmi e non viene generata da debconf). L'uso della configurazione di SNORT in questa modalità presenta però il problema che i dati vengono trasmessi in chiaro dai sensori alla macchina con il database, questo può essere risolto o collegando direttamente questi su una rete separata, oppure utilizzando una configurazione diversa che prevede l'utilizzo di tunnel cifrati con SSH. In questo secondo caso quello che deve essere fatto è associare a localhost anche un nome locale (sempre dentro _/etc/hosts_), ''/etc/hosts''), infatti se si usa localhost dentro la configurazione di SNORT questo cerca di collegarsi a [[MySQL]] MySQL tramite socket su filesystem. Il secondo passo è utilizzare ssh per creare il canale con: <pre> {{{ ssh -L 3306:localhost:3306 -l root -N logger.truelite.it -f </pre> }}} che rimappa la porta del database sul server, collegandosi su esso su _localhost_, ''localhost'', con la stessa porta in locale sil sensore; le opzioni consentono di lanciare il comando in background. Occorre poi consentire esplicitamente la connessione al database dall'utente precedentemente definito anche da localhost, vale a dire deve essere abilitato da [[MySQL]] MySQL l'accesso con: <pre> {{{ mysql> grant INSERT,SELECT,UPDATE on snort.* to snort@localhost identified by "mypass"; Query OK, 0 rows affected (0.00 sec) </pre> }}} Fatto questo si potrà tornare tornare a far ascoltare [[MySQL]] MySQL solo in locale (rimuovendo la precedente modifica al file di configurazione) e poi occorrerà modificare la configurazione di SNORT, inserendo il nome del sensore al posto di quello della macchina su cui sono salvati i log, con: <pre> {{{ output database: log, mysql, user=snort password=mypass dbname=snort host=sensor output database: alert, mysql, user=snort password=mypass dbname=snort host=sensor </pre> }}} e poi riavviare SNORT. In questo caso lo svantaggio è che occorre inserire il comando di creazione del tunnel in uno script di avvio ed utilizzare SSH con l'autenticazione a chiavi e con una chiave senza password (sul sensore), a meno di non eseguire un avvio a mano. Per tenere sotto controllo il funzionamento della configurazione di SNORT si usi il comando _tail ''tail -f /var/log/syslog_, /var/log/syslog'', dato che è su questo file che vengono registrati i messaggi di avvio; se è tutto a posto si riceveranno una serie di messaggi terminanti con: <pre> {{{ ... Mar 23 13:01:02 localhost snort: Rule application order: ->activation->dynamic->alert->pass->log Mar 23 13:01:02 localhost snort: Log directory = /var/log/snort Mar 23 13:01:03 localhost snort: Snort initialization completed successfully (pid=6120) </pre> }}} La configurazione dell'infrastruttura web A questo punto si devono installare Apache e PHP per poter utilizzare la console, i pacchetti necessari sono i seguenti: <pre> {{{ apt-get install apache libapache-mod-php4 libphp-adodb libphp-phplot \ php4-gd php4-mysql </pre> }}} Una volta eseguiti i passi precedenti si può passare all'installazione di BASE, in questo caso si possono scaricare i sorgenti (la licenza è QPL) da _http://secureideas.sourceforge.net/_, ''http://secureideas.sourceforge.net/'', ed installarlo con i seguenti comandi: <pre> {{{ wget -c http://jaist.dl.sourceforge.net/sourceforge/secureideas/base-1.0.2.tar.gz cd /var/www tar -xvzf ~/base-1.0.2.tar.gz mv base-1.0.2 base </pre> }}} dopo di che si potrà configurare apache per l'accesso inserendo le seguenti istruzioni: <pre> {{{ Alias /base /var/www/base <DirectoryMatch /var/www/base> Options +FollowSymLinks [[AllowOverride]] AllowOverride None order allow,deny allow from all <IfModule mod_php3.c> php3_magic_quotes_gpc Off php3_track_vars On php3_include_path . </IfModule> <IfModule mod_php4.c> php_flag magic_quotes_gpc Off php_flag track_vars On php_value include_path . </IfModule> </DirectoryMatch> </pre> }}} dentro un file (ad esempio base.conf) in _/etc/apache/conf.d_, ''/etc/apache/conf.d'', una volta riavviato Apache si potrà accedere alla pagina iniziale della console all'indirizzo http://console/base