『原創』如何於Win2000Pro架設Snort入侵偵測系統 |
|
superlevin
高階會員 發表:181 回覆:313 積分:180 註冊:2003-01-12 發送簡訊給我 |
本文章同步刊於我的網誌中囉!http://www.wretch.cc/blog/superlevin&article_id=1889897
前言
隨著網路的快速發展,網路安全顯得相當重要。在以往,我們都採用Linux搭配Snort
來作為入侵偵測主機,但對新手或未曾接觸過Linux系統的使用者而言,使用Linux有相
當的門檻。為了使用者安裝及操作方便,在這裡教導各位如何在Windows2000中來建立
免費的Snort偵測系統,藉以偵測從網路而來的入侵者。 安裝文件列表
在正式安裝前,請大家先下載下列檔案
.appserv-win32-2.4.1.exe
作用:可快速建立Apache/PHP/MySQL環境。
網址:http://www.appservnetwork.com/?modules=&applang=tw
備註:請下載2.4.1版本即可,否則Snort連結至MySQL會產生錯誤。
.WinPcap_3_0.exe
作用:把網卡設置為“混雜”模式,然後處理網路截取的封包
網址:http://winpcap.polito.it/default.htm
.Snort_232_Build12_Installer.exe
作用:Windows版的Snort安裝程式
網址:http://www.snort.org/
.acid-0.9.6b23.tar.gz
作用:PHP網頁模式的入侵偵測資料庫分析控制台。
網址:http://www.cert.org/kb/acid/
.adodb461.zip
作用:PHP資料庫程式庫
網址:http://adodb.sourceforge.net/
.jpgraph-1.17.tar.gz
作用:Object-Oriented圖形程式庫For PHP
網址:http://www.aditus.nu/jpgraph/
安裝步驟
一、首先安裝appserv-win32-2.4.1.exe。
二、安裝完畢後,至C:\WINNT開啟php.ini這個檔案,尋找
allow_call_time_pass_reference=Off字串,將它更改為
allow_call_time_pass_reference=On後,存檔離開。
三、『開始』→『程式集』→『Appserv』→『Apache Control Server』
→『Apache Monitor』,會出現在系統列(小時鐘旁邊),按右鍵
『Open Apache Monitor』開啟後,按下『restart』重新載入php.ini
四、開啟IE,網址打入自己的IP位址(http://localhost)測試Appserv是否安裝成功。
五、安裝WinPcap_3_0.exe。
六、安裝Snort_232_Build12_Installer.exe
七、進入http://localhost/phpmyadmin新增Snort使用者
使用者名稱:snort
主 機:% (設定任何主機都可登入)
密 碼:(自己設定)
確認密 碼:(自己設定)
八、建立snort與snort_archive資料庫。
九、匯入C:\Snort\schemas內之create_mysql為snort與snort_archive資料庫資料庫結構。
十、解壓縮adodb461.zip至C:\Appserv\php\adodb目錄中
十一、解壓縮jpgraph-1.17.tar.gz至C:\Appserv\php\jpgraph目錄中
十二、解壓縮acid-0.9.6b23.tar.gz至C:\Appserv\www\acid目錄中
十三、編輯C:\Appserv\www\acid\acid_conf.php檔案如下(利用尋找功能去修改字串)
$DBlib_path="c:\appserv\php\adodb" $alert_dbname = "snort";
$alert_host = "localhost";
$alert_port = "";
$alert_user = "root";
$alert_password = ""; $archive_dbname = "snort_archive";
$archive_host = "localhost";
$archive_port = "";
$archive_user = "root";
$archive_password = ""; $ChartLib_path = "C:\AppServ\php\jpgraph\src";
十四、建立acid所需要的資料庫,使用IE進入http://localhost/acid/acid_db_setup.php
依照指示建立即可。
十五、編輯C:\Snort\etc\snort.conf檔案如下
var RULE_PATH c:\snort\rules
output database: alert, mysql, user=snort password=snort
dbname=snort host=localhost(與上一行為同一行)
include C:\Snort\etc\classification.config
include C:\Snort\etc\reference.config
十六、至C:\Snort\bin\目錄底下新增runsnort.bat檔案,內容如下
snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X
十七、『開始』→『執行』鍵入cmd進入命令提示字元模式,鍵入
『cd c:\snort\bin』至C:\snort\bin目錄下,再鍵入『runsnort』。
十八、開啟後勿關閉視窗。回到IE打入http://localhost/acid觀看,即完成Snort設定。
=======================================================================
補充:
安裝SAM(Snort Alert Monitor)
安裝文件列表
.j2re-1_4_2_07-windows-i586-p.exe
功用:Java Runtime Environment,安裝後才能執行sam.jar程式
網址:http://java.sun.com/j2se/1.4.2/download.html
.sam_20050206_bin.zip
功能:Snort監控程式
網址:http://freesoftware.lookandfeel.com/sam/
安裝步驟
一、安裝j2re-1_4_2_07-windows-i586-p.exe後,解壓縮
sam_20050206_bin.zip至C:\SAM目錄中,利用JRE開啟
sam.jar程式。
二、Database Login畫面中設定
hostname→localhost:3306
Database→snort
username→snort
password→(剛才在mysql設定snort的密碼)
按下OK即可。
====================================================================== 程式不是寫來玩的 而是要創造價值
------
林壽山 網站: http://superlevin.ifengyuan.tw mail: superlevin@gmail.com |
big.chris
一般會員 發表:0 回覆:2 積分:0 註冊:2005-09-24 發送簡訊給我 |
|
superlevin
高階會員 發表:181 回覆:313 積分:180 註冊:2003-01-12 發送簡訊給我 |
|
big.chris
一般會員 發表:0 回覆:2 積分:0 註冊:2005-09-24 發送簡訊給我 |
本站聲明 |
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。 2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。 3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇! |