Snort:Detection analyse:MySQL

From aldeid
Jump to: navigation, search

MySQL

Paramétrage de MySQL

Si vous n’avez pas déjà attribué un mot de passe au compte root de mysql, entrez la commande suivante :

# mysqladmin –u root password ‘motDePasse’

Pour la suite, nous allons avoir besoin d’initialiser la base de données Snort.
Construction de la base de données

# mysql –u root –p
<<Password>>

Création de la base de données

mysql> create database snort;

Attribution des droits à l’utilisateur Snort :

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to [email protected];

Attribution d’un mot de passe à l’utilisateur Snort et sortie :

mysql> SET PASSWORD FOR [email protected]=PASSWORD('mypassword');
mysql> exit

Alimentation de la base de données

# cd /usr/local/src/snort-2.8.4.1/schemas/
# mysql -u root -p < create_mysql snort
<<Password>>
Info.png
Note
Si vous avez l'intention d'utiliser la fonctionnalité ARCHIVE de BASE, vous devez également effectuer cette manipulation en remplaçant snort par snort_archive (nom à adapter en fonction de la base de données archives).

Vérifiez que les tables ont été créées :

# mysql -u root -p
Enter password: <<Password>>
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 14
Server version: 5.0.32-Debian_7etch5-log Debian etch distribution

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

mysql> use snort;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+------------------+
| Tables_in_snort  |
+------------------+
| data             |
| detail           |
| encoding         |
| event            |
| icmphdr          |
| iphdr            |
| opt              |
| reference        |
| reference_system |
| schema           |
| sensor           |
| sig_class        |
| sig_reference    |
| signature        |
| tcphdr           |
| udphdr           |
+------------------+
16 rows in set (0.00 sec)

Configuration de Snort pour une inscription des événements en base de données

Editez le fichier de configuration de Snort pour une inscription des événements en base de données directement :

# vim /etc/snort/snort.conf

Dans le fichier, décommentez la ligne suivante et remplacez mysnortpassword par le mot de passe que vous avez associé à l’utilisateur snort en base de données :

output database: log, mysql, user=snort password=mysnortpassword dbname=snort host=localhost

Repérez le PID (20042 dans notre exemple) du process attribué à Snort, par la commande ps aux | grep snort, puis détruisez le par la commande kill.

# ps aux | grep snort
snort    20042  0.1 24.2  84828 62248 ?        Ss   11:26   0:01 /usr/local/bin/snort -Dq -u snort -g snort -c /etc/snort/snort.conf
root     20076  1.0  0.2   2880   756 pts/0    R+   11:45   0:00 grep snort
# kill 20042

Relancez Snort :

# /usr/local/bin/snort -A full -Dq -u snort -g snort -c /etc/snort/snort.conf

Tests sur l’inscription des événements en base de données

Utilisez un scanner de port (NMAP, Advanced Port Scanner, ou equivalent) pour scanner le serveur sur lequel est installé Snort puis, sur le serveur, vérifier que la table event contient des enregistrements :

# mysql -u root -p -D snort -e "select count(*) from event"
Enter password: <<Password>>
+----------+
| count(*) |
+----------+
|        3 |
+----------+




Détection et analyse
[Sommaire]
BASE