kodaman.org

SNORT NEDİR?

SNORT İLE GÜVENLİK ORTAMI OLUŞTURABİLİRSİNİZ VEYA NETWORK ÜZERİNDEKİ PAKETLERİ TAKİP EDEBİLİR,BASİT LOGLAMA YAPABİLİRSİNİZ.

Aşağıdaki servisleri, başlatmaya ihtiyacınız ihtiyacınız olucak. Eğer sisteminizde kurulu değil ise paket kurumları hakkında detaylı bilgi için aşağıdaki linklerde bulunan makaleleri okuyabilirsiniz.

Centos Apache Kurulumu - Centos Mysql Kurulumu

Hemen başlıyalım...

Servislerimizi başlatıyoruz.

1
2
3
4
5
6
7

chkconfig httpd on

chkconfig mysqld on

service httpd start

service mysqld start

Snortu alalım ve kuruluma geçelim.

http://www.snort.org/ adresinden güncel sürümü indirebilirsiniz.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

wget http://www.snort.org/dl/current/snortxxxx

tar -xvzf snort-xxxxx.tar.gz

cd snort-xxxxxx

./configure –with-mysql –enable-dynamicplugin

make

make install

groupadd snort

useradd -g snort snort –s /sbin/nologin

Sonra:

1
2
3
4
5
6
7
8
9

mkdir /etc/snort

mkdir /etc/snort/rules

mkdir /var/log/snort

cd etc/ (make not this is not /etc. it is the etc dir under the snort source code)

cp * /etc/snort

Kuralları yükleyelim.

1

wget – latest snort rules

Sonra siz yeni sürümü indirebilirsiniz.

1

tar –xvzf snortrules-pr-2.4.tar.gz

Tar Ball dan patlayan Rules klasörüne geçiş yapalım ve aşağıdaki komutları uygulayalım.

1
2
3

cd snort*

cp * /etc/snort/rules

snort.conf dosyanızı düzenleyin.

snort.conf dosyası /etc/snort/snort.conf da bulunur aşağıdaki değişiklikleri kendinize göre yapın.

1

var HOME_NET 10.0.0.0/24

CIDR hakkında bilginiz yok ise üstüne tıklayarak öğrenebilirsiniz.

1

var EXTERNAL_NET !$HOME_NET

Bu herşeyin ev neti olmadığını varsayacaktır.
Değiştirelim;

1

preprocessor stream4_reassemble: both,ports 21 23 25 53 80 110 111 139 143 445 513 1433

Şimdi sıra Snort'un oturum yönetim ayarlarını MySQL üzerinde tutmak için gerekli veritabanı ayarlarını yapmaya.

Aşağıdaki Mysql komutlarını uygularken, mysql sifrenizi kendinize gore belirlemeyi unutmayın, sonraki günlerde mysql üzerinden user olusturacaginiz için yada kullanım gerekeceği için şifreniz aklınızda kalmış olur.

1
2
3

output database: log, mysql, user=snort password=yourpassword

dbname=snort host=localhost

Snort'u sistem açılışında başlatılması için inet.d ye tanımlayalım.

Dizinimizi /etc/init.d olarak değiştirelim ve...

1
2
3
4
5
6
7

cd /etc/init.d/

wget http://internetsecurityguru.com/snortinit/snort

chmod 755 snort

chkconfig snort on

Sıra geldi Snort için kullanılacak olan tablo ,veritabanı ayarlarının yer alacağı MySQL ayarlamalarımıza.

1
2
3
4
5
6
7
8
9
10
11
12
13

mysql -u root -p

create database snort;

grant INSERT,SELECT on root.* to snort@localhost;

SET PASSWORD FOR snort@localhost=PASSWORD(’password_from_snort.conf’);

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;

grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;

exit

Aşağıdaki komutu uygulayarak tablolalarınızı oluşturun.

1

mysql -u root -p < ~/snortinstall/snort-2.6.0/schemas/create_mysql snort

Enter password: Az evvel tanımlamış olduğunuz MySQL şifrenizi girin.

Şimdi veritabanının oluşturulup oluşturulmadığını kontrol etmektir.

1
2
3

mysql -u root -p

SHOW DATABASES;

Aşağıdaki gibi bir ekran çıktısı göreceksiniz.

+————+

+————+

ve.. snort tablosuna girelim. listeleyelim

use snort

SHOW TABLES;

+——————+

| Tables_in_snort

+——————+

| data

| detail

| encoding

| event

| icmphdr

| iphdr

| opt

| reference

| reference_system

| schema

| sensor

| sig_class

| sig_reference

| signature

| tcphdr

| udphdr

+——————+

Ekran çıktınız yukarıdaki gibi olucaktır. Yeni sürümlerde farklılık gösterebilir endişe etmeyin.

Mysql den çıkış yapıyoruz;

1

exit;

Yükleme Bölümü
Snort dosyalarının bulunduğu dizine gidiyoruz (cd /root/snortinstall)

Uygun grafik elde etmek için aşağıdaki kodu giriniz.

1

pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman

AdoDB'yi buraya tıklayarak indirin.

Bu dosyayı da (/root/snortinstall/) klasörüne indirelim.

wget http://easynews.dl.sourceforge.net/sourceforge/secureideas/base-1.2.6.tar.gz

1
2
3

cd /var/www/

tar -xvzf /root/snortinstall/adodb480.tgz

Base'i yükleyelim ve kuralım.

1
2
3
4
5

cd /var/www/html

tar –xvzf /root/snortinstall/base-1.2.6.tar.gz

mv base-1.2.6/ base/

base_conf.php.dist yi base_conf.php olarak kopyalayalım.

1

cp base_conf.php.dist base_conf.php

“base_conf.php” üzerinde gerekli düzenlemeleri aşağıdaki şekilde yapalım.

$BASE_urlpath = “/base”;

$DBlib_path = “/var/www/adodb/ “;

$DBtype = “mysql”;

$alert_dbname = “snort”;

$alert_host = “localhost”;

$alert_port = “”;

$alert_user = “snort”;

$alert_password = “password_from_snort_conf”;

/* Archive DB connection parameters */

$archive_exists = 0; # Set this to 1 if you have an archive DB

Aşağıdaki komut ile snort başlıyor mu emin olalım.

1
2
3

service snort start

ps –ef|grep snort.conf

Base yapılandırması , https://ipadresiniz/base

İlk gelen görüntü başlangıç bannerı olacaktır.

"Setup Page" linkini tıklayın, açılan sayfadan "Base AG" düğmesine basın.

Aşağıdaki yönergeleri takip edin.

Gelen sayfanın altında anasayfa göreceksiniz.

Temel dizin güvenliğini httpasswd ile sağlayalım.

1
2
3

mkdir /var/www/passwords

/usr/bin/htpasswd -c /var/www/passwords/passwords base

Httpd.conf u düzenleyin, ben direk conf dan duzenledim. siz kendi www klasorunuz altında yaratabilirsiniz.

httpd.conf u aşağıdaki gibi kendinize göre düzenleyin

Options FollowSymLinks

AllowOverride None

AuthType Basic

AuthName “SnortIDS”

AuthUserFile /var/www/passwords/passwords

Require user base

Snort klasör güvenliği için httpd.conf dosyasını kaydedin ve apacheyi restartlayın,ayarlarınız güncellensin.

service httpd restart

Oikmaster kurmanız snort kurallarını otomatik olarak güncellemenizi sağlar.

Takıldığınız yerler olursa konu altından sorabilirsiniz.
Esenlikler.