MISTERY

git 을 이용한 설치


https://redmine.openinfosecfoundation.org/projects/suricata/wiki/CentOS_64_Installation_(with_unix_socket_geoip_profiling_and_MD5_features)


inline IPS 설정


https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Setting_up_IPSinline_for_Linux




Barnyard2 설치 시

필수 패키지 : mysqlclient16, mysqlclient16-devel

./configure --with-mysql-libraries=/usr/lib64/mysql/



Barnyard2 연동




sensor management tool

 

 

 

 

 

 

출처 : http://hotman.tistory.com/115

 

 

 

 

 

신고

'Security > Barnyard' 카테고리의 다른 글

Suricata IPS CentOS 6.4 설치 방법  (0) 2014.03.31
barnyard2 test based on ubuntu 13.04  (0) 2014.03.31
barnyard2 데몬 만들기  (0) 2014.03.31
barnyard2 syslog 설정  (0) 2014.03.31
barnyard2 설치  (0) 2014.03.31
Barnyard2 설치  (1) 2014.03.31

Comment +0

cd /usr/local/snort/rules


테스트용 rules 파일 생성

sudo vim local.rules


맨밑줄에

alert tcp any any -> any any (msg:"test"; sid:1000000)

# tcp 를 통해 모든 ip의 모든 port 를 통해, 모든 ip의 모든port 를 향해 패킷이 들어오면 msg 를 남겨라


1. barnyard2, snort 실행


1) snort

sudo /usr/local/snort/bin/snort -u snort -g snort -c /usr/local/snort/etc/snort.conf -i eth0 -D

감시할 NIC에 따라 eth0 이든 eth1 이든 

eth0 이 아닌경우 barnyard2 에서도 설정을 동일하게 맞춰줘야함


2) barnyard2

sudo /usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf -G /usr/local/snort/etc/gen-msg.map -S /usr/local/snort/etc/sid-msg.map -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo -D


/var/log/snort/ 에 snort.u2.* 파일이 생성되고, 기록이 쌓이고


barnyard2 를 실행시키면

snort.u2.* 를 읽어와 DB에 기록함

 

 

 

 

 

 

출처 : http://rene402.tistory.com/44

 

 

 

 

 

 

신고

'Security > Barnyard' 카테고리의 다른 글

Suricata IPS CentOS 6.4 설치 방법  (0) 2014.03.31
barnyard2 test based on ubuntu 13.04  (0) 2014.03.31
barnyard2 데몬 만들기  (0) 2014.03.31
barnyard2 syslog 설정  (0) 2014.03.31
barnyard2 설치  (0) 2014.03.31
Barnyard2 설치  (1) 2014.03.31

Comment +0

리눅스에는 데몬이라는게 있어서

데몬 모드로 실행을 하면 백그라운드에서 돌아가는 듯 하다.


그래서 이 데몬을 만들어서 부팅시 시작하게 만들어주면 서버가 구동됨과 동시에

서비스를 시작하게 만들 수 있다.



[ Snort 데몬 만들기 ]

 

ln -s /usr/local/bin/snort /usr/sbin/snort

cp /usr/local/snort-2.9.1/rpm/snortd /etc/init.d

cp /usr/local/snort-2.9.1/rpm/snort.sysconfig /etc/sysconfig/snort

cd /etc/rc3.d

ln -s ../init.d/snortd S99snortd

cd ../rc0.d

ln -s ../init.d/snortd K99snortd

cd /etc/rc5.d

ln -s ../init.d/snortd S99snortd

cd ../rc6.d

ln -s ../init.d/snortd K99snortd

chmod 755 /etc/init.d/snortd


 

vim /etc/sysconfig/snort

• eth0 이라고 되있는 부분에서 잡고싶은 인터페이스를 변경해주면 된다.

ALERTMODE=FAST, DUMP_APP=1, BINARY_LOG=1 부분을 주석처리.


 

/etc/init.d/snortd start 명령으로 잘 시작되는지 확인한다.



[ barnyard2 데몬 만들기 ]


 

/etc/snort/barnyard2.conf

config daemon 주석 해제해준다.

waldo 파일의 경로를 지정해준다.


vim /usr/local/barnyard2-1.9/rpm/barnyard2.config

LOG_FILE 값을 snort.log 로 변경해준다. 

CONF variable 값을 /etc/snort/barnyard2.conf 로 설정



ln -s /usr/local/bin/barnyard2 /usr/sbin/barnyard2

cp /usr/local/barnyard2-1.9/rpm/barnyard2 /etc/init.d


vim /etc/init.d/barnyard2

BARNYARD_OPTS 를 

BARNYARD_OPTS="-D -c $CONF -d $SNORTDIR -w $WALDO_FILE -f $LOG_FILE -X $PIDFILE

$EXTRA_ARGS" 로 설정해준다.


cp /usr/local/barnyard2-1.9/rpm/barnyard2.config /etc/sysconfig/barnyard2

chmod 755 /usr/local/bin/barnyard2

cd /etc/rc3.d

ln -s ../init.d/barnyard2d S99barnyard2d

cd ../rc0.d

ln -s ../init.d/barnyard2d K99barnyard2d

cd /etc/rc5.d

ln -s ../init.d/barnyard2d S99barnyard2d

cd ../rc6.d

ln -s ../init.d/barnyard2d K99barnyard2d

chmod 755 /etc/init.d/barnyard2

 


/etc/init.d/barnyard2 start 명령으로 테스트해본다.

 

 

 

 

 

 

출처 : http://mythfeal.blog.me/130125207120

 

 

 

 

 

신고

'Security > Barnyard' 카테고리의 다른 글

Suricata IPS CentOS 6.4 설치 방법  (0) 2014.03.31
barnyard2 test based on ubuntu 13.04  (0) 2014.03.31
barnyard2 데몬 만들기  (0) 2014.03.31
barnyard2 syslog 설정  (0) 2014.03.31
barnyard2 설치  (0) 2014.03.31
Barnyard2 설치  (1) 2014.03.31

Comment +0

    1.     barnyard2 syslog 설정


Snort에서 Output을 담당하고 있는 모듈인 barnyard에서는 syslog로의 출력도 지원한다. /etc/snort/barnyard2.conf 파일에서 syslog output 부분에 다음과 같이 설정해줍니다.

output alert_syslog: xxx.xxx.xxx.xxx, LOG_AUTH LOG_ALERT

앞의 주소는 로그를 보낼 원격지 주소이고 뒷 부분은 어떤 종류의 로그를 보낼지를 정의합니다.

 


    2.     rsyslog 설정


/etc/rsyslog.conf 파일에서 rsyslog를 설정할 수 있습니다.

# Provides UDP syslog reception 부분에서 udp포트를 정의하는데 기본으로 514로 정의되어있으므로 아래 두 줄의 주석만 해제해주면 됩니다.


$ModLoad imudp.so
$UDPServerRun 514


그리고 맨 아랫줄에 다음을 추가


Auth.Alert @211.115.100.201


앞은 어떤 로그를 보낼지를 정의하고 뒤는 1번에서 정의한 원격지 로그 서버를 정의해주면 된다.

barnyard는 로그를 /var/log/messages에 쌓기만 하고 r

syslog 데몬이 원격지로 전송하는 것이므로 둘 다 올바른 설정이 되어야만 로그가 전송된다.

설정이 끝나면 rsyslog barnyard2를 재시작하고 

tshark등으로 캡쳐하여 정상적으로 전송되는지 확인한다.

netstat –naup 명령으로 514 포트가 열려있는지 확인할 수 있다.

 

 

 

 

 

 

출처 : http://mythfeal.blog.me/130130832638

 

 

 

 

 

 

신고

'Security > Barnyard' 카테고리의 다른 글

barnyard2 test based on ubuntu 13.04  (0) 2014.03.31
barnyard2 데몬 만들기  (0) 2014.03.31
barnyard2 syslog 설정  (0) 2014.03.31
barnyard2 설치  (0) 2014.03.31
Barnyard2 설치  (1) 2014.03.31
Barnyard 설치 & 설정  (0) 2014.03.31

Comment +0

#####snort.conf 설정변경##########################
두줄추가 (output부분)
#unified
output unified2: filename snort.log, limit 128

########barnyard2 설치(64bit기준)########################################
cd /root/
barnyard2.tar.gz복사
tar zxvf barnyard2-1.8.tar.gz
cd barnyard2-1.8
./configure --with-mysql-libraries=/usr/lib64/mysql/
make
make install
cp etc/barnyard2.conf /etc/snort/
mkdir /var/log/barnyard2
chmod 666 /var/log/barnyard2
touch /var/log/snort/barnyard2.waldo
chown snort:snort /var/log/snort/barnyard2.waldo

########barnyard2 수정#########################################
vi /etc/snort/barnyard2.conf
주석해제
config hostname:        locahost
config interface:       eth0
output database: log, mysql, user=snort password=ahslxj1234 dbname=snort host=localhost

########sid-msg.map최신화######################################
barnyard의 output은 이벤트명을 포함하지 않기 때문에 매칭파일을 사용해야한다.
안그러면 DB에 이벤트명이 제대로 박히지 않는다.

매핑파일 위치: /etc/snort/sid-msg.map

create-sidmap.pl 스크립트를 이용하면 최신룰로 매칭할 수 있다.(검색ㄱㄱ)


########실행#########################################
/usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.log -w /var/log/snort/barnyard2.waldo -D

참고:
http://gsxbinary.blogspot.com/2010/07/snort-barnyard2-mysql-base-intro.html
http://blog.nielshorn.net/2010/09/snort-barnyard2-base-complete-installation/

 

barnyard2 실행 전후 퍼포먼스 측정

 

 초당 로그기록량 증가

 

드롭률 감소

 

 

 

 

 

 

출처 : http://applicationlayer.tistory.com/292

 

 

 

 

 

신고

'Security > Barnyard' 카테고리의 다른 글

barnyard2 test based on ubuntu 13.04  (0) 2014.03.31
barnyard2 데몬 만들기  (0) 2014.03.31
barnyard2 syslog 설정  (0) 2014.03.31
barnyard2 설치  (0) 2014.03.31
Barnyard2 설치  (1) 2014.03.31
Barnyard 설치 & 설정  (0) 2014.03.31

Comment +0

티스토리 툴바