基于BASE和Snort的入侵检测
本教程将介绍如何在Debian Sarge系统上安装和配置BASE(基本分析和安全引擎)和Snort入侵检测系统(IDS)。 BASE提供了Web前端来查询和分析来自Snort IDS系统的警报。 使用BASE,您可以对Snort在您的网络上检测到的入侵进行分析。
场景:根据Falko的 - 完美设置 - Debian Sarge(3.1),运行Debian Sarge 3.1的linux服务器。
假设我们有一个工作网站( www.example.com
),文档根目录是: /var/www/www.example.com/web
服务器的IP是192.168.0.5
,它使用eth0
作为网络接口名称。
需要的程序和文件
- Snort
- Snort规则
- PCRE(Perl兼容的正则表达式)
- LIBPCAP
- BASE(基本分析和安全引擎)
- ADOdb(用于PHP(和Python)的ADOdb数据库抽象库))
下载和解锁
我们需要一个临时的地方,我们将要下载的所有文件,并解压缩。
为了简单起见,我们将在/ root
中创建一个名为snorttemp的目录
。 (很明显,这个下载目录可以是任何名称,在任何地方)
cd /root
mkdir snorttemp
cd snorttemp
现在你需要得到Snort。
编写本文时的最新版本是2.6.0
wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz
当下载完成后解除文件:
tar -xvzf snort-2.6.0.tar.gz
然后让我们删除tar文件:
rm snort-2.6.0.tar.gz
我们还需要Snort规则!
转到: http : //www.snort.org/pub-bin/downloads.cgi并向下滚动,直到看到“Sourcefire VRT认证规则 - 官方Snort规则集(未注册用户发布)”规则
(如果您是论坛的会员,您还可以下载 - 注册用户版本):
wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
将snortrules-pr-2.4.tar.gz移动
到snort-2.6.0
地图中:
mv snortrules-pr-2.4.tar.gz /root/snorttemp/snort-2.6.0
和cd进入snort-2.6.0
:
cd snort-2.6.0
解释snortrules-pr-2.4.tar.gz
文件:
tar -xvzf snortrules-pr-2.4.tar.gz
删除tar文件:
rm snortrules-pr-2.4.tar.gz
我们完成了下载Snort工作所需的文件。
为了使BASE工作,我们需要更多!
PCRE - Perl兼容的正则表达式。
请访问: http : //www.pcre.org/ ,并为pcre-6.3tar.gz
文件选择一个下载链接,以下载PCRE(在写这篇文章的时候它是pcre-6.3.tar.gz
)
cd回到snorttemp地图:
cd /root/snorttemp
并下载pcre-6.3.tar.gz
文件:
wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz
解压文件:
tar -xvzf pcre-6.3.tar.gz
删除tar:
rm pcre-6.3.tar.gz