ネットワークセキュリティ---linuxの下のsnortシステムのインストールと規則テスト(一)

Snort概要:Webサイトはインターネット技術の中で最も脆弱で攻撃を受けやすい部分です.Snortにアクセスしてみます.無料でオープンソースのネットワーク侵入防御システム(Network Intrusion Prevention System,NIPS)とネットワーク侵入検出システム(Network Intrusion Detection System,NIDS)ツールで、Webサイト、アプリケーション、インターネットをサポートするプログラムの管理と防御に使用されます.Snortには、嗅覚器、パケットレコーダ、ネットワーク侵入検出システムの3つの動作モードがあります.嗅覚器モードは、ネットワークからパケットを読み出し、端末に連続的なストリームとして表示するだけである.パケットレコーダモードでは、パケットをハードディスクに記録します.ネットワーク侵入検出モードは最も複雑であり、構成可能である.snortにネットワークデータストリームを解析して,ユーザ定義のいくつかの規則に一致させ,検出結果に基づいて一定の動作をとることができる.

実験環境:ホストCPU:Core(TM)i 5-4200 M [email protected] GHz VMwareバージョン:12.0.1 build-3160714 linuxバージョン:ubuntu-15.10-desktop-amd 64 linuxカーネルバージョン:4.2.0-16-generic

インストールsnort 3.1インストールlamp:コマンド

を使用

sudo apt-get install mysql-server  libapache2-mod-php5  php5-mysql  libphp-adodb

3.2 Snortパッケージをインストールまずソフトウェアソースを追加し、sourcesを修正する.list

sudo gedit /etc/apt/sources.list

追加:`

deb http://mirrors.kernel.org/ubuntu precise main universe
deb-src http://mirrors.kernel.org/ubuntu precise main universe

その後、`sudo apt-get update sudo apt-get install snort-mysqlがインストールされますが、インストールが完了すると、snortのmysqlデータベースが構成されていないことを示すエラーメッセージが表示されます.次に、snortのデータベースを作成します.
3.3 snortのためにmysqlデータベースを構築する:snort-mysqlはubuntuの下のsnortのmysql補助ソフトウェアである
mysqlコマンドラインインタフェースに入り、データベースを構築します.

CREATE DATABASE snort;
grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort@localhost;
grant CREATE, INSERT, SELECT, UPDATE on snort.* to snort;
SET PASSWORD FOR snort@localhost=PASSWORD('snort-db'); 
exit

以上のコマンドの機能は、MySQLデータベースでsnortデータベースを作成し、snortユーザーを作成してsnortユーザーのパスワードをsnort-dbに設定することです.

 cd /usr/share/doc/snort-mysql 
  zcat create_mysql.gz | mysql -u snort -D snort -psnort-db 

snortのためにMySQLでデータベース構造を構築し、各snortが使用するテーブルを含む.
3.4 snortを設定mysqlデータベースにlogファイルを出力するSnortのプロファイルを変更するsudo vim /etc/snort/snort.conf

#ipvar HOME_NET any
ipvar HOME_NET 192.168.0.0/16
# Set up the external network addresses. Leave as "any" in most situations
#ipvar EXTERNAL_NET any
ipvar EXTERNAL_NET !$HOME_NET

snort.confファイルには545行程度が入っています.

output database: log, mysql, user=snort password=snort-db dbname=snort host=localhost

3.5 apacheサーバとphpがapacheのphpモジュールを正しく構成してmsqlとgdの拡張を追加するかどうかをテストします.

$ vim /etc/php5/apache2/php.ini 

extension=msql.so extension=gd.so
/var/www/ディレクトリの下にテキストファイルtestを新規作成します.php

sudo vim /var/www/test.php 

入力内容etc/APache 2/sites-availableの下の000-defaultを修正します.configファイル、/var/www/htmlをvar/www/apacheに変更

$ /etc/init.d/apache2 restart 

ブラウザに入力しますhttp://localhost/test.php配置が正しければPHP INFOのクラシックインターフェースが現れ、LAMPが正常に動作していることを示します
(・・・・続き)