BASE和Snort的入侵检测

基于BASE和Snort的入侵检测

本教程将介绍如何在Debian Sarge系统上安装和配置BASE(基本分析和安全引擎)和Snort入侵检测系统(IDS)。 BASE提供了Web前端来查询和分析来自Snort IDS系统的警报。 使用BASE,您可以对Snort在您的网络上检测到的入侵进行分析。

场景:根据Falko的 - 完美设置 - Debian Sarge(3.1),运行Debian Sarge 3.1的linux服务器。
假设我们有一个工作网站( www.example.com ),文档根目录是: /var/www/www.example.com/web
服务器的IP是192.168.0.5 ,它使用eth0作为网络接口名称。

需要的程序和文件

  • Snort
  • Snort规则
  • PCRE(Perl兼容的正则表达式)
  • LIBPCAP
  • BASE(基本分析和安全引擎)
  • ADOdb(用于PHP(和Python)的ADOdb数据库抽象库))

下载和解锁

我们需要一个临时的地方,我们将要下载的所有文件,并解压缩。
为了简单起见,我们将在/ root中创建一个名为snorttemp的目录 。 (很明显,这个下载目录可以是任何名称,在任何地方)

cd /root
mkdir snorttemp
cd snorttemp

现在你需要得到Snort。
编写本文时的最新版本是2.6.0

wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz

当下载完成后解除文件:

tar -xvzf snort-2.6.0.tar.gz

然后让我们删除tar文件:

rm snort-2.6.0.tar.gz

我们还需要Snort规则!
转到: http : //www.snort.org/pub-bin/downloads.cgi并向下滚动,直到看到“Sourcefire VRT认证规则 - 官方Snort规则集(未注册用户发布)”规则
(如果您是论坛的会员,您还可以下载 - 注册用户版本):

wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz

snortrules-pr-2.4.tar.gz移动snort-2.6.0地图中:

mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0

和cd进入snort-2.6.0

cd snort-2.6.0

解释snortrules-pr-2.4.tar.gz文件:

tar -xvzf snortrules-pr-2.4.tar.gz

删除tar文件:

rm snortrules-pr-2.4.tar.gz

我们完成了下载Snort工作所需的文件。

为了使BASE工作,我们需要更多!

PCRE - Perl兼容的正则表达式。

请访问: http : //www.pcre.org/ ,并为pcre-6.3tar.gz文件选择一个下载链接,以下载PCRE(在写这篇文章的时候它是pcre-6.3.tar.gz
cd回到snorttemp地图:

cd /root/snorttemp

并下载pcre-6.3.tar.gz文件:

wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz

解压文件:

tar -xvzf pcre-6.3.tar.gz

删除tar:

rm pcre-6.3.tar.gz
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏