【文章內(nèi)容簡介】 MS之類的網(wǎng)管系統(tǒng)上。告警信息也可以以SMB彈出窗口的形式發(fā)送到Windows機器上。如果你與其它工具一起安裝，你可以做一些更加復(fù)雜的操作，比如將Snort數(shù)據(jù)發(fā)送到數(shù)據(jù)庫并通過Web界面來分析。分析工具能夠讓你對捕獲的數(shù)據(jù)有更加直觀的認識，而不用對晦澀的日志文件耗費大量時間。其它一些可以用到的工具列在下面，它們中的沒有特都有特定的任務(wù)。一個綜合的Snort系統(tǒng)用這些工具來提供具有后臺數(shù)據(jù)庫Web用戶界面。MySQL用來Snort紀(jì)錄告警日志。也可以用類似于Oracle的數(shù)據(jù)庫，但在Snort環(huán)境中MySQL更加常用。事實上，Snort可以用任何ODBC兼容的數(shù)據(jù)庫。l Apache用作web服務(wù)器l PHP用作web服務(wù)器和MySQL數(shù)據(jù)庫之間的接口。l ACID是用來Web界面來分析Snort數(shù)據(jù)的PHP軟件包。l GD庫被ACID用來生成圖表l PHPLOT用來在ACID的web界面將數(shù)據(jù)表現(xiàn)為圖表形式。為了是PHPLOT工作，GD庫必須要正確配置。l ADODB被ACID用來連接MySQL數(shù)據(jù)庫。2．1 Snort 安裝方案Snort的安裝方式要取決于運行環(huán)境，下面列舉了一些典型的安裝方案以供參考，你可以根據(jù)你的網(wǎng)絡(luò)情況進行選擇。2．1．1 測試安裝簡單安裝只包括一個Snort探測器。Snort將數(shù)據(jù)記錄到文本文件中。日志文件供Snort管理員隨后察看。由于這種方式在實際應(yīng)用中分析日志的成本比較高因此僅適合測試環(huán)境。要用這種方式安裝Snort，你可以在。對RedHat Linux來說，你可以下載RPM包。對Windows系統(tǒng)，你可以下載可執(zhí)行文件安裝到你的系統(tǒng)上。2．1．2 安裝單探測器的應(yīng)用IDS單探測器的Snort可應(yīng)用安裝適合只有一條Internet線路的小型網(wǎng)絡(luò)。將探測器放在路由器或者防火墻的后面，以檢測進入系統(tǒng)的入侵者。不過要是你對所有的Internet流量感興趣，你也可以將傳感器放在防火墻的外面。在這種安裝方式中，你可以從Snort網(wǎng)站，也可以下載源代碼根據(jù)自己的要求編譯，以取得自己需要的特征，這種要求在編譯好的版本中是做不到的。Snort的編譯步驟將在本章詳細討論。在應(yīng)用系統(tǒng)安裝中，也可以讓Snort實現(xiàn)自動啟動和關(guān)閉，這樣Snort在系統(tǒng)啟動是可以自動啟動。如果你在Linux中安裝編譯好的版本，RPM包會幫你做到這一點。在Windows系統(tǒng)中，你可以將Snort作為服務(wù)來啟動或者放在啟動組的批處理文件中。Windows相關(guān)的問題將在第8章涉及。日志將紀(jì)錄為文本文件或者二進制文件，并用類似于SnortSnarf的工具分析數(shù)據(jù)。SnortSnarf將在第6章中詳細討論。2．1．3 單探測器與網(wǎng)管系統(tǒng)的整合在應(yīng)用系統(tǒng)中，你可以將Snort配置成向網(wǎng)管系統(tǒng)發(fā)送trap。在企業(yè)應(yīng)用中，有很多種網(wǎng)管系統(tǒng)在應(yīng)用。最常見的商業(yè)網(wǎng)管系統(tǒng)公司有惠普、IBM、Computer Associates等。Snort利用SNMP trap整合到網(wǎng)管系統(tǒng)中。當(dāng)你看完本章的Snort編譯步驟后，就會了解Snort是怎樣提供SNMP能力的。第4章將介紹更多的關(guān)于配置SNMP trap目標(biāo)、munity名稱等更多的信息。 2．1．4 帶有數(shù)據(jù)庫和web界面的單探測器 Snort最通常的用法是與數(shù)據(jù)庫的整合。數(shù)據(jù)庫用來記錄日志，并可以隨后通過web界面訪問。這種安裝的典型設(shè)置包含3個基本的部件： Snort 探測器 數(shù)據(jù)庫服務(wù)器 web服務(wù)器 Snort將日志記錄到數(shù)據(jù)庫中，你可以通過連接到它的web瀏覽器察看這些數(shù)據(jù)。這種方案可以參見第1章的圖11。所有3個部件也可以安裝在同一個系統(tǒng)上，如第1章的圖12所示。 Snort可以用不同類型的數(shù)據(jù)庫，如MySQL,PostgresSQL,Oracle,Microsoft SQL Server和其他ODBC兼容的數(shù)據(jù)庫。PHP用來在數(shù)據(jù)庫中獲取數(shù)據(jù)，并產(chǎn)生頁面。 這樣的安裝提供給你一個易于管理的功能全面的IDS，并具有友好的用戶界面。為了使你能夠用數(shù)據(jù)庫記錄日志，你必須給Snort提供數(shù)據(jù)庫的用戶名稱、密碼、數(shù)據(jù)庫名稱和數(shù)據(jù)庫服務(wù)器的地址。在單探測器方案中，如果數(shù)據(jù)庫服務(wù)器就安裝在運行傳感器的機器上，你可以用“l(fā)ocalhost”作為主機名。你在編譯Snort時就要選擇記錄數(shù)據(jù)庫的功能，這一點將在本章的后面詳細描述。Snort使用數(shù)據(jù)庫的配置將在第6章討論。2．1．5 用集中數(shù)據(jù)庫管理多個Snort探測器在分布式環(huán)境中，你可能需要在多個位置安裝Snort探測器。管理所有這些探測器并分別分析它們收集的數(shù)據(jù)是一項艱難的任務(wù)。在企業(yè)應(yīng)用中，有一些方法可以將Snort設(shè)置和安裝成分布式的IDS。其中一種方法是將多個探測器連接到同一個中心數(shù)據(jù)庫，如圖13所示。所有探測器產(chǎn)生的數(shù)據(jù)都存儲在這個數(shù)據(jù)庫中。同時運行一個類似于Apache的web服務(wù)器。然后用戶可以用web瀏覽器察看這些數(shù)據(jù)并加以分析。但要了解這種配置存在一些實際問題：l 所有的探測器在啟動Snort的時候必須能夠訪問到數(shù)據(jù)庫，如果不能，Snort就終止進程。l 數(shù)據(jù)庫必須保證讓探測器所有的時間都能訪問，否則，數(shù)據(jù)將丟失。l 如果探測器和數(shù)據(jù)庫服務(wù)器之間有防火墻，你要打開相應(yīng)的端口，有時這樣做會與防火墻的安全策略不匹配或者違背安全策略。在探測器不能直接訪問數(shù)據(jù)庫服務(wù)器的時候，有一些變通的方法。探測器可以配置為將文件存儲在本地，然后用類似于SCP的工具定期將這些文件上傳到中央數(shù)據(jù)庫服務(wù)器。SCP用SSH協(xié)議來進行安全文件傳輸?shù)墓ぞ?。防火墻管理員要放行SSH端口的通信。你可以用Snort本身，Barnyard或其他一些工具從日志文件中提取數(shù)據(jù)并將它們放到數(shù)據(jù)庫中，你可以在以后用web界面來察看這些數(shù)據(jù)。這種方式的唯一問題是數(shù)據(jù)庫中的數(shù)據(jù)并非嚴格的“實時”數(shù)據(jù)。延遲的大小要看你用SCP上傳數(shù)據(jù)到中心數(shù)據(jù)庫服務(wù)器的頻率。這種方式如圖21所示。要注意，中心數(shù)據(jù)庫服務(wù)器必須要運行SSH服務(wù)器以能夠用SCP來上傳數(shù)據(jù)。如第一章中提到的那樣，這本書的最終目的是幫助你安裝Snort并讓所有的軟件包可以協(xié)同工作。當(dāng)你通讀此書后，你將了解這些部件之間是如何相互作用，共同工作形成一個完整的入侵檢測系統(tǒng)的。本書中涉及的這些軟件都可以這本書的網(wǎng)站。你也可以發(fā)現(xiàn)這個網(wǎng)站上的一些腳本可以幫助你輕松的在一個新系統(tǒng)上安裝這些軟件包。事實上，用這本書提到的這個網(wǎng)站上的一些腳本，你可以以root身份用僅僅幾個命令行就建立一個可用的IDS。如果你用的Snort的版本比本書涉及的要新，你可以在。這本書將詳細介紹這些部件在RedHat Linux ，但是在其他版本的Linux或者其他平臺上的過程與之類似。為了方便本書介紹，所有的部件都安裝在/opt目錄下面。但是如果用編譯好的軟件包，安裝位置可能有所不同。當(dāng)你用本書上或者從本書的網(wǎng)站取得的腳本，文件將被安裝在這個目錄下面。在本章中，你將了解如何將Snort作為一個獨立的產(chǎn)品安裝，在后面的章節(jié)中，將介紹其他一些部件。你可以得到二進制形式或者源代碼形式的Snort。對于大多數(shù)安裝來說，編譯好的二進制軟件包是非常好的。如前面提及的，如果你想為Snort定制一些特性，你需要下載源代碼版的Snort自行編譯。例如，有些人喜歡SMB告警，但另外一些人可能認為它們不安全。如果你需要不支持SMB告警的Snort,那么你需要自己編譯它。這對于一些如SNMP trap、MySQL等其他特性也是一樣的。另外一個自己編譯Snort理由是你需要了解正在開發(fā)中的代碼。本章將指導(dǎo)你一步一步的安裝Snort。基本的安裝過程是非常簡單的，而且Snort已經(jīng)提供給你包含大多數(shù)已知攻擊特征的預(yù)定義的規(guī)則。當(dāng)然，自定義安裝還是要費一些工夫的。2．2 安裝Snort 在這一部分，你將了解如何安裝編譯好的Snort和如何自己編譯和安裝。安裝編譯好的RPM包非常簡單，僅需要幾步。但是如果你的Snort是源代碼形式的，是需要一些時間來了解和安裝的。2．2．1 用RPM包安裝Snort 用RPM包安裝Snort包括下面的步驟。 2．2．1．1 下載 從Snort的網(wǎng)站（）下載最新版的Snort。在寫本書的時候。 2．2．1．2 安裝 運行下面的命令來安裝Snort的二進制文件：rpm install 這個命令會產(chǎn)生下面的動作：n 創(chuàng)建/etc/snort目錄，其中會存放Snort的規(guī)則文件和配置文件。n 創(chuàng)建/var/log/snort目錄，Snort的日志文件將會存放在這里。n 創(chuàng)建/usr/share/doc/，在這個目錄中，你會看到類似于FAQ,README的文件和其他一些文件。n 在/usr/sbin目錄中創(chuàng)建一個叫做snortplain的文件，這是Snort的守護進程。 創(chuàng)建文件/etc/，這是啟動和關(guān)閉腳本。在RedHat Linux中，它與/etc/。到這里基本安裝就完成了，你可以開始使用Snort。這個版本的Snort并沒有將對數(shù)據(jù)庫的支持編譯進去，你只能用/var/log/snort目錄下面的日志文件。2．2．1．3 Snort的啟動，停止和重啟用下面的命令手工啟動Snort：/etc/這個命令將啟動Snort守護進程，運行“ps –ef”命令，你可以看到類似于下面的輸出：root 15999 1 0 18:31 ? 00:00:01 /usr/sbin/snort A fast b l /var/log/snort d D i eth0 c /etc/snort/ 注意每次你重啟機器，你都要手工啟動Snort。你可以通過創(chuàng)建文件鏈接的方式讓這個過程自動執(zhí)行，這將在本章的后面討論。 用下面的命令停止Snort： /etc/ 用下面的命令重新啟動Snort： /etc/2．2．2 用源代碼安裝Snort為了能夠用源代碼安裝Snort,你必須先構(gòu)造它。你可以用下面介紹的步驟來構(gòu)造出可執(zhí)行文件snort。首先從Snort網(wǎng)站（）獲得最新版的Snort。在寫這本書的時候，，下載后可以保存在/opt目錄中。注意在你讀這本書的時候可能會是更新的版本，安裝方法也類似。2．2．2．1 解壓縮下載后第一步要把源代碼解壓縮，用下面的命令來執(zhí)行： tar zxvf 這樣會創(chuàng)建/opt/。確定你將文件下載到/opt目錄，并且你在這個目錄運行tar命令。如果是其他版本的Snort,目錄名稱可能會有所不同，目錄名稱會反映版本號。解壓縮后你可以運行tree命令來觀察tar命令建立的目錄樹，如下所示是/opt/：[root@conformix opt] tree d | contrib| doc| etc| rules| src| | detectionplugins| | outputplugins| | preprocessors| ` win32| | WIN32Code| | WIN32Includes| | | NET| | | NETINET| | | libnet| | | mysql| | ` rpc| | WIN32Libraries| | | libnet| | ` mysql| ` WIN32Prj` templates21 directories[root@conformix opt]這些目錄中的主要內(nèi)容如下所示：contrib目錄主要包括并非嚴格輸入Snort自身組成部分的應(yīng)用軟件，這些軟件包括ACID,MySQL數(shù)據(jù)庫生成腳本和其他。doc目錄包含文檔文件。etc目錄包含配置文件。rules目錄包含預(yù)先定義的規(guī)則文件。所有的源代碼在src目錄下面。templates是為那些準(zhǔn)備自己寫插件的人準(zhǔn)備的，這對大多數(shù)Snort用戶沒有意義。2．2．2．2 編譯和安裝編譯和安裝過程包括下列3個步驟：1． 運行configure腳本。2． 運行make命令。3． 運行make install命令。開始Snort的編譯過程，首先去/opt/。如果你剛剛開始接觸GNU類的軟件，你需要了解configure腳本是開放源碼軟件包通用的工具，它可以用來設(shè)置參數(shù)，創(chuàng)建makefile,檢測開發(fā)工具和你系統(tǒng)中的庫文件。運行configure腳本的時候，有許多命令行選項，這些選項決定Snort編譯時將帶有那些組件。比如，用這些選項，你可以構(gòu)建對SNMP、MySQL或SMB告警的支持以及其他很多事情。你同樣也可以定制Snort文件的最終安裝位置。你可以用“./configure –help”命令來察看可用的選項，如下所示： ./configure help`configure39。 configures this package to adapt to many kinds of systems.Usage: ./configure [OPTION]... [VAR=VALUE]...To assign environment variables (., CC, CFLAGS...), specify them asVAR=VALUE. See below for descriptions of some of the useful variables.Defaults for the options are specified in brackets.Configuration: h, help display this help and exit help=short display options specific to this package help=recursive display the