實驗三：安裝及建置入侵偵測防禦系統

1. 教育部資通訊人才培育先導型計畫 寬頻有線教學推動聯盟中心 實驗三：安裝及建置入侵偵測防禦系統

2. 實驗簡介 實驗三 安裝及建置入侵偵測防禦系統 • 實驗目的 • 學習如何架設入侵偵測系統 Snort • 學習如何使用 ACID (Analysis Console for Intrusion Databases) 所提供的圖形介面即時監控 Snort 的偵測狀況 • 實驗工具 • Snort 2.4.4 • Snort 最新Rule檔 • WinPcap 4.0.2版 • MySQL Server 4.1 • NavcateMySQL v8.0 • Apache http server 2.0.6.3 • PHP 4.4.8 • Adodb4.8.1 • jpgraph-1.2.7 • ACID-0.9.6b23

3. 實驗三 安裝及建置入侵偵測防禦系統 安裝過程 • 實驗步驟 • Step 01. 安裝Snort • Step 02. 安裝WinPcap • Step 03. 安裝MySQL • Step 04. 安裝MySQL管理工具Navicat MySQL • Step 05. 安裝Apache Server • Step 06. 安裝PHP 4 • Step 07. 安裝ACID • Step 08. 安裝Adodb及Jpgraph • Step 09. 設定ACID • Step 10. 啟動Snort • Step 11. 使用ACID

4. 實驗三 安裝及建置入侵偵測防禦系統 Step 01. 安裝 Snort • 安裝 Snort 2.8.4 (可到 www.snort.org下載)

5. 實驗三 安裝及建置入侵偵測防禦系統 Step 01. 安裝 Snort • 一直選擇 Next 直到安裝完成

6. 實驗三 安裝及建置入侵偵測防禦系統 Step 01. 安裝 Snort • 根據使用者的權限提供不同的 rules • Subscriber • 可取得最新更新的 rules • Registered • 能取得更新時間超過30天的 rules • Unregistered • 只能得到幾個較重要的 rules • 增加 Snort Rules • 將下載的 rules 檔解壓後放在 C:\snort\rules下 (Snort 的安裝目錄\rules)

7. 實驗三 安裝及建置入侵偵測防禦系統 Step 02. 安裝 WinPcap • 安裝 WinPacp 4.0.2 (可到 www.winpcap.org下載)

8. 實驗三 安裝及建置入侵偵測防禦系統 Step 02. 安裝 WinPcap • 選擇 Next 直到安裝完成，安裝完成後請重新開機。

9. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 安裝 MySQL 4.1 ，並選擇 Typical(可到 dev.mysql.com/downloads/下載)

10. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 一直按 Next ，出現註冊畫面時，選 Skip Sign-Up

11. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 選擇 Next，進行 MySQL 伺服器的設定。

12. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 接下來我們要設定 MySQL 伺服器相關的設定，第一步選擇 Next 。

13. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 選擇 Standard Configuration 後，按 Next 。

14. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 使用預設值，直接按 Next 。

15. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 接著設定管理者的密碼。

16. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 按 Execute 後，即可完成 MySQL 伺服器的設定。

17. 實驗三 安裝及建置入侵偵測防禦系統 Step 03. 安裝MySQL • 安裝完 MySQL 4.1 後，請到 控制台  系統管理工具  服務 下確認 MySQL 的狀態為已啟動。

18. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 安裝 MySQL 管理工具 Navicat MySQL (可到 www.navicat.com.tw/download.html下載)

19. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 選擇下一步直到安裝完成

20. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 安裝完成後，執行 Navicat MySQL

21. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 點擊連線，輸入密碼，並按確定

22. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 完成上述步驟後，就可以連線到 MySQL Server 了

23. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 在 localhost 按右鍵，選擇開啟連線

24. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 連線後，在 localhost 上按右鍵選擇「新增資料庫」

25. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 新增一個名為「snort」的空白資料庫

26. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 新增完後請重新連線，接著匯入 Snort 專用的 schema 在snort點二下並按右鍵選擇「執行批次任務檔案」載入C:\snort\schemas\create_mysql

27. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 接著就可以看到 snort 的表單被建立完成

28. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 接著建立要存取 MySQL Server 的帳號 點擊「管理使用者」「加入使用者」設定權限儲存 • 在「加入使用者」表單內 • %：由 remote 連線至 MySQL Server 的使用者 • localhost：直接在本機對 MySQL Server 進行存取的使用者

29. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 設定使用者snort對 snort 資料庫的權限

30. 實驗三 安裝及建置入侵偵測防禦系統 Step 04. 安裝 Navicat MySQL • 這裡請注意，由於 MySQL 4.1 之後採用的加密方式跟 4.1 之前不同，所以需要設定使用 OLD_PASSWORD 加密。

31. 實驗三 安裝及建置入侵偵測防禦系統 Step 05. 安裝Apache Server • 安裝Apache HTTP Server 2.0.63 (可到 httpd.apache.org 下載)

32. 實驗三 安裝及建置入侵偵測防禦系統 Step 05. 安裝Apache Server • 設定網域與 ServerName

33. 實驗三 安裝及建置入侵偵測防禦系統 Step 05. 安裝Apache Server • Type 選擇 Typical

34. 實驗三 安裝及建置入侵偵測防禦系統 Step 05. 安裝Apache Server • 按 Next 直到安裝結束

35. 實驗三 安裝及建置入侵偵測防禦系統 Step 06. 安裝PHP • 下載 PHP 4.48 (http://www.php.net/get/php-4.4.8-Win32.zip/from/a/mirror) • 將 PHP解壓在C:\snor\php目錄底下，並執行以下動作 • 將php4ts.dll複製到C:\WINDOWS\system32目錄下 • 將php.ini-dist複製到C:\WINDOWS下，並變更檔名為php.ini，開啟php.ini檔尋找並修改下列設定的屬性如下： • max_execution_time = 60 • extension_dir = "C:\Snort\php\extensions“ • session.save_path = "C:\Snort\php\sessiondata“ • 在C:\Snort\php底下新增資料夾，命名為sessiondata • 在安裝完PHP後，切換到Apache預設的安裝目錄，並在conf目錄下開啟httpd.conf，並增加下列二行設定： • LoadModule php4_module “C:\Snort\php\sapi\php4apache2.dll” • AddType application/x-httpd-php .php

36. 實驗三 安裝及建置入侵偵測防禦系統 Step 07. 安裝ACID • 將acid-0.9b23.tar.gz解壓至Apache預設目錄htdocs底下，並開啟acid_config.php檔尋找並修改下列設定的屬性： • /* Path to the DB abstraction library */ • $DBlib_path = "C:\Snort\php\adodb"; • /* The type of underlying alert database */ • $DBtype = "mysql"; • /* Alert DB connection parameters */ • $alert_dbname = "snort"; • $alert_host = "localhost"; • $alert_port = "3306"; • $alert_user = "snort"; • $alert_password = "之前設定的snort使用者密碼"; • /* Archive DB connection parameters */ • $archive_dbname = "snort"; • $archive_host = "localhost"; • $archive_port = "3306"; • $archive_user = "snort"; • $archive_password = "之前設定的snort使用者密碼"; • /* Path to the graphing library */ • $ChartLib_path = "C:\Snort\php\jpgraph-1.27\src";

37. 實驗三 安裝及建置入侵偵測防禦系統 Step 08. 安裝Adodb及Jpgraph • 安裝Adodb及Jpgraph • 分別將adodb481.zip及jpgraph-1.27.tar.gz的檔案解壓縮到 • C:\Snort\php\adodb • C:\Snort\php\jpgraph-1.27 • 開啟C:\Snort\php\jpgraph-1.27\src下的jpgraph.php檔，並增加一行設定如下： // For internal use only DEFINE(“_JPG_DEBUG”,false);DEFINE(“_FORCE_IMGTOFILE”,false);DEFINE(“_FORCE_IMGDIR”,‘/tmp/jpgimg/’);DEFINE("CACHE_DIR", "/tmp/jpgraph_cache");增加此行

38. 實驗三 安裝及建置入侵偵測防禦系統 Step 09. 設定ACID • 使用瀏覽器開啟ACID，並點選 Setup page 進行設定 http://(安裝Apache Server的IP位置)/acid/acid_main.php(本例以140.125.32.15為例)

39. 實驗三 安裝及建置入侵偵測防禦系統 Step 09. 設定ACID • 按下 Create ACID AG

40. 實驗三 安裝及建置入侵偵測防禦系統 Step 09. 設定ACID • 當完成上述步驟後，即可完成 ACID 設定

41. 實驗三 安裝及建置入侵偵測防禦系統 Step 10. 啟動 Snort • 可利用MS-DOS命令提示字元，切換到C:\Snort\bin目錄，即可啟動Snort • 首先，我們必須知道要監聽的網路卡是哪個，可利用snort –W指令查詢

42. 實驗三 安裝及建置入侵偵測防禦系統 Step 10. 啟動 Snort • 接著啟動 Snort • 設定檔：C:\Snort\etc\snort.conf • log存放位置：C:\Snort\log • 監聽的介面：4 Snort –c C:\Snort\etc\snort.conf –l C:\Snort\log –i 4

43. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • 當啟動 Snort 後，我們可以使用 ACID 來觀看 Snort 所偵測到的結果。 淺藍色的數字均為超連結，點選之後可進一步觀看相關的訊息

44. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Added 0 alert(s) to the Alert cache • 最新加入的alert數量 • Queried on • 最新查詢的日期時間 • Database • 資料庫資訊 • Time windows • ACID安裝的安裝時間 • Sensors • 網路卡個數 • Unique Alerts (categories) • alerts中所包含種類數 • Total Number of Alerts • alert的總數

45. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Source IP addresses • alert的來源主機IP位址個數 • Dest. IP addresses • alert的目的主機IP位址個數 • Unique IP links • 不重複IP位址的連結數 • Source Ports • 封包來源主機IP位址的port數 • Dest. Ports • 封包目的主機IP位址的port數，可區分成TCP與UDP。 • Traffic Profile by Protocol • 將偵測到的封包以protocol進行統計，針對port scan的alert不列入此計算之中。

46. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Search • 使用複合條件查詢alert資料 • Graph Alert data • 設定以統計圖方式呈現alert記錄情況 • Most recent Alerts: any protocol, TCP, UDP, ICMP • 最新的alert，可全部檢視或依封包協定類別區分TCP、UDP、ICMP檢視。 • Today‘s: alerts unique, listing; IP src / dst • 今天的alert，可檢視不重複的alert或總覽alert；亦可依來源/目的主機IP位址區分檢視。 • Last 24 Hours: alerts unique, listing; IP src / dst • 最近24小時的alert，可檢視不重複的alert或總覽alert；亦可依來源/目的主機IP位址區分檢視。 • Last 72 Hours: alerts unique, listing; IP src / dst • 最近72小時的alert，可檢視不重複的alert或總覽alert；亦可依來源/目的主機IP位址區分檢視。

47. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Most recent 15 Unique Alerts • 最新15種不重複的alert • Last Source Ports: any , TCP , UDP • 最新alert的來源位址埠號，可全部檢視或依封包協定類別區分TCP、UDP檢視。 • Last Destination Ports: any , TCP , UDP • 最新alert的目的位址埠號，可全部檢視，或依封包協定類別區分TCP、UDP檢視。 • Most frequent 5 Alerts • 最頻繁的5種alert • Most Frequent Source Ports: any , TCP , UDP • 最頻繁alert的來源位址埠號，可全部檢視或依封包協定類別區分TCP、UDP檢視。

48. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Most Frequent Destination Ports: any , TCP , UDP • 最頻繁alert的目的位址埠號，可全部檢視，或依封包協定類別區分TCP、UDP檢視。 • Most frequent 15 addresses: source, destination • 15個最頻繁alert的位址，區分來源或目的位址檢視。 • Graph alert detection time • 設定起迄日期時間以統計圖方式呈現alert偵測時間的記錄情況。 • Alert Group (AG) maintenance • alert群組的維護與管理。 • Application cache and status • 應用程式的資料快取管理與系統狀態檢視。

49. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • Search功能 • ADD Time • 增設查詢不同的起迄日期時間 • ADD IP Field： • 增設查詢其他的封包欄位資訊

50. 實驗三 安裝及建置入侵偵測防禦系統 Step 11. 使用ACID • 搜尋後的結果如下圖