'Snort'에 해당되는 글 5건

  1. 2013.01.16 Snort + DAQ + PF_RING
  2. 2012.11.09 Snort On Multiple NICs
  3. 2012.09.11 snort 퍼포먼스 모니터링
  4. 2011.01.02 Snort for Mac OS X
  5. 2010.03.14 스노트 구축

Snort + DAQ + PF_RING

snort 2013. 1. 16. 18:19 |

성능이 얼마나 올라갈까

##############################################

======> 트래픽이 높아지니 kernel에러 또는 로그없이 스노트가 멈추는 현상이 발생해서 2.9.4.0으로 교체함. 아직까진 문제 없음. 

2.9.4로 설치시 daq만 2.0으로 재설치하면 나머지 과정은 같다. (pf_ring관련모듈 재컴파일 필요)

최신버전에서는 mysql output을 지원하지 않는다. db저장시 snort-barnyard-mysql 방식을 이용할것

##############################################




환경: CentOS 5.8 / Snort 2.9.2 / 


######기존snort삭제########################

make uninstall

###########################################

파일 다운로드 및 압축해제

# tar xvzf libpcap-1.2.1.tar.gz

# tar xvzf daq-0.6.2.tar.gz

# tar xvzf libdnet-1.12.tar.gz

# tar xvzf pcre-8.30.tar.gz

# tar xvzf snort-2.9.2.2.tar.gz


# cd libpcap-1.2.1

# ./configure

# make

# make install

# cd /usr/lib64/

# rm libpcap.so

# rm libpcap.so.0

# rm libpcap.so.0.9

# ln -s /usr/local/lib/libpcap.so.1.2.1 /usr/lib64/libpcap.so.1.2.1

# ln -s /usr/lib64/libpcap.so.1.2.1 /usr/lib64/libpcap.so.1

# ln -s /usr/lib64/libpcap.so.1 /usr/lib64/libpcap.so


# cd daq-0.6.2

# ./configure

# make

# make install


# cd pcre-8.30

# ./configure

# make

# make install


# cd libdnet-1.12

# ./configure

# make

# make install


# cd snort-2.9.2.2

# ./configure -with-mysql-libraries=/usr/lib64/mysql/ -enable-dynamicplugin -enable-zlib -enable-ipv6  -enable-sourcefire

# make

# make install


중간확인해보기

# snort -V


   ,,_     -*> Snort! <*-

  o"  )~   Version 2.9.2.2 IPv6 GRE (Build 121)

   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team

           Copyright (C) 1998-2012 Sourcefire, Inc., et al.

           Using libpcap version 1.2.1

           Using PCRE version: 8.30 2012-02-04

           Using ZLIB version: 1.2.3



# groupadd snort

# useradd -g snort snort -s /sbin/nologin

# mkdir /etc/snort

# mkdir /etc/snort/rules

# mkdir /etc/snort/so_rules

# mkdir /etc/snort/preproc_rules

# mkdir /var/log/snort

# chown snort:snort /var/log/snort

# mkdir /usr/local/lib/snort_dynamicrules

# cd etc/

# cp * /etc/snort/


####룰파일 다운로드/적용(snort공홈)###########################


# tar xvzf snortrules-snapshot-2921.tar.gz

# cd rules/

# cp * /etc/snort/rules

# cp ../so_rules/precompiled/Centos-5-4/x86-64/2.9.2.1/* /etc/snort/so_rules

# cp ../preproc_rules/* /etc/snort/preproc_rules

***/etc/snort/snort.conf설정은 알아서 바꾸시고....


##PF_RING설치##############################

필요한 프로그램 다운로드 및 설치 (./configure & make & make install)

#tar zxvf autoconf-2.69.tar.gz

#tar zxvf automake-1.9.tar.gz

#tar zxvf libtool-2.4.tar.gz


PF_RING다운로드 / 압축해제

cd PF_RING/kernel

make

make install

insmod ./pf_ring.ko

***커널에 모듈이 올라왔는지 확인

***lsmod |grep pf_ring


cd lib

./configure

make

make install

***/usr/local/lib/libpfring.so파일이 생겼는지 확인


#cd snort/pfring-daq-module

#autoreconf -ivf

#./configure

#make

#make install



##Snort동작 확인#########################################

snort --daq-dir=/usr/local/lib/daq --daq pfring -i eth9 -c /etc/snort/snort.conf -T


참고

http://kezhong.wordpress.com/2012/04/07/install-snort-2-9-2-2-on-centos5-8x86_64/

'snort' 카테고리의 다른 글

이벤트별 DB분류 저장  (0) 2013.01.12
Managing Snort Alerts  (0) 2013.01.11
Snort On Multiple NICs  (0) 2012.11.09
snort 퍼포먼스 모니터링  (0) 2012.09.11
snort-sms연동(bash)  (0) 2012.04.19
Posted by applicationlayer
:

Snort On Multiple NICs

snort 2012. 11. 9. 11:37 |

스노트 서버에 두개이상의 NIC를 모니터링해야 할때 리눅스의 bonding기능을 사용하여  하나의 sensor로 관리할 수 있다.


@@ eth1, eth2 를 묶는 상황


==master ifcfg추가

#vi /etc/sysconfig/network-scripts/ifcfg-bond0

DEVICE=bond0

ONBOOT=yes

USERCTL=no

#mac정보 등록하지말것


==slave가 될 ifcfg수정

#vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

HWADDR=11:11:11:11:11:11

ONBOOT=yes

USERCTL=no

MASTER=bond0

SLAVE=yes

DHCP_HOSTNAME=localhost

TYPE=Ethernet


#vi /etc/sysconfig/network-scripts/ifcfg-eth2

DEVICE=eth2

HWADDR=11:11:11:11:11:12

ONBOOT=yes

USERCTL=no

MASTER=bond0

SLAVE=yes

DHCP_HOSTNAME=localhost

TYPE=Ethernet


==modprobe.conf 수정

#vi /etc/modprobe.conf

#아래추가

alias bond0 bonding

options bond0 mode=3 miimon=100


==모듈적재

#modprobe bonding


==모듈확인

#lsmod |grep bonding



네트워크 재시작

#service network restart


확인해보자

#ifconfig


bond0     Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC MASTER MULTICAST  MTU:1500  Metric:1

          RX packets:3356331948 errors:0 dropped:1237 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:1833559479666 (1.6 TiB)  TX bytes:0 (0.0 b)


eth0      Link encap:Ethernet  HWaddr ===

          inet addr:192.168.25.238  Bcast:192.168.25.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:109870 errors:0 dropped:0 overruns:0 frame:0

          TX packets:57559 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:10922558 (10.4 MiB)  TX bytes:46141080 (44.0 MiB)

          Interrupt:162 Memory:f4000000-f4012800


eth1      Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC SLAVE MULTICAST  MTU:1500  Metric:1

          RX packets:2905684886 errors:0 dropped:1221 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:1732421175495 (1.5 TiB)  TX bytes:0 (0.0 b)

          Interrupt:170 Memory:f2000000-f2012800


eth2      Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC SLAVE MULTICAST  MTU:1500  Metric:1

          RX packets:450647062 errors:0 dropped:16 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:101138304171 (94.1 GiB)  TX bytes:0 (0.0 b)

          Interrupt:178 Memory:f8000000-f8012800



##snort 시작옵션

snort -i bond0 ....

'snort' 카테고리의 다른 글

이벤트별 DB분류 저장  (0) 2013.01.12
Managing Snort Alerts  (0) 2013.01.11
snort 퍼포먼스 모니터링  (0) 2012.09.11
snort-sms연동(bash)  (0) 2012.04.19
snort 룰설정  (0) 2012.03.21
Posted by applicationlayer
:

snort 퍼포먼스 모니터링

snort 2012. 9. 11. 19:21 |

#####스노트 perfmon 옵션실행#####################################

vim /etc/snort/snort.conf

주석제거

preprocessor perfmonitor: time 30 file /var/snort/snort.stats pktcnt 10000

디렉터리 생성

mkdir /var/snort/

스노트 재시작

###################################################################


#####munin설치 & 설정######################################################

rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

yum -y install munin

yum -y install munin-node


vim /etc/munin/munin-node.conf

내용수정

  st_name snort;snort01          <-- 이름을 지정

  allow ^AAA\.AAA\.AAA\.AAA$  <-- 모니터링용 서버의 IP주소(AAA.AAA.AAA.AAA)


vim /etc/munin/munin.conf

내용추가

  [snort;snort01]

   address BBB.BBB.BBB.BBB   <-- 감시할 서버의 IP주소

    use_node_name yes


#########snort 관련 플러그인 등록 ###################################

ln -s /usr/share/munin/plugins/snort_* /etc/munin/plugins/


서비스 재시작

service httpd restart

service munin-node restart




'snort' 카테고리의 다른 글

Managing Snort Alerts  (0) 2013.01.11
Snort On Multiple NICs  (0) 2012.11.09
snort-sms연동(bash)  (0) 2012.04.19
snort 룰설정  (0) 2012.03.21
sguil 관련  (0) 2012.02.16
Posted by applicationlayer
:

Snort for Mac OS X

snort 2011. 1. 2. 11:27 |
GUI환경에서 네트워크 트래픽을 감시할 수 있는 (snort내장) HenWen이라는 NIDS프로그램이 있었으나 개발이 중단되어 leopard에서는 돌아가지 않는다.
http://seiryu.home.comcast.net/~seiryu/henwen.html

macports를 이용하여 snort mysql base를 쉽게 연동할 수 있다.
http://homepage.mac.com/duling/halfdozen/Snort-Howto.html

==========Mysql설정 ====================================

1. mysql 설치
$sudo port install mysql5 +server

2. 데이터베이스 셋업
$sudo -u mysql mysql_install_db5

2.1 만약 퍼미션 에러가 발생할 경우 아래와 같이 입력한다.
$sudo mysql_install_db5
$sudo chown -R _mysql:_mysql /opt/local/var/db/mysql5

3. mysql 실행
$sudo /opt/local/lib/mysql5/bin/mysqld_safe &

3.1 /opt/local/var/run 경로를 찾을 수 없다고 나올 경우 직접 수동으로 생성 해 준다.
$sudo mkdir /opt/local/var/run
$sudo chmod g+w /opt/local/var/run
$sudo mkdir /opt/local/var/run/mysql5
$sudo chown mysql /opt/local/var/run/mysql5

4. 패스워드 설정
$sudo /opt/local/lib/mysql5/bin/mysqladmin -u root password '암호'

 
==========php설정 ====================================
php패키지 설치
http://www.entropy.ch/software/macosx/php/

==========http 설정 ====================================
leopard는 apache를 이용한 웹 공유 기능이 내장되어있으므로 apache를 다시 설치할 필요가 없다.

apache 설정파일은 /private/etc/apache2/httpd.conf에 있다 주석을 제거하여 php와 연동시킨다.
#LoadModule php5_module        libexec/apache2/libphp5.so

apache는 환경설정 > 공유 에서 [웹 공유]를 체크하여 활성화시킬 수 있다
(DocumentRoot는 /Library/WebServer/Documents/ 이다)


나머지는 아래 링크를 따라하면 된다.
http://homepage.mac.com/duling/halfdozen/Snort-Howto.html

주의: 웹 루트에 adodb링크를 만들때 메뉴얼과 비교해서 약간 경로명이 다르니 확인해야함.
        base_conf.php파일에서 db연동정보를 localhost가 아니라 127.0.0.1로 해야 페이지가 정상적으로 뜬다. 이유는 모르겠다.


'snort' 카테고리의 다른 글

barnyard2 설치  (0) 2012.02.08
Installing Sagan on CentOS  (0) 2012.02.01
snort 성능  (0) 2012.01.26
간단하게 이벤트 확인  (0) 2010.05.25
스노트 구축  (0) 2010.03.14
Posted by applicationlayer
:

스노트 구축

snort 2010. 3. 14. 20:27 |

'snort' 카테고리의 다른 글

barnyard2 설치  (0) 2012.02.08
Installing Sagan on CentOS  (0) 2012.02.01
snort 성능  (0) 2012.01.26
Snort for Mac OS X  (0) 2011.01.02
간단하게 이벤트 확인  (0) 2010.05.25
Posted by applicationlayer
: