Главная » Статьи » Защита информации


Управление IDS-датчиками. web-интерфейс SnortCenter для управления датчиками NIDS

Управление IDS-датчиками

Управление IDS-датчиками и отслеживание всех генерируемых ими сигналов тревоги может стать обременительной задачей, а при наличии нескольких датчиков — вообще трудно выполнимой. Одним из способов объединить все задачи управления IDS в одном приложении является SnortCenter (http://users.pandora.be/larc/) — система управления для Snort.

Что такое SnortCenter?

SnortCenter состоит из консоли, основанной на web-интерфейсе, и агентов датчиков, запускаемых на каждой машине, входящей в инфраструктуру NIDS. Это позволяет объединить все задачи наблюдения и управления в одной программе, которая помогает быстрее выполнять работу. SnortCenter имеет собственную схему идентификации и поддерживает зашифрованную связь между консолью и отдельными агентами датчиков. Это позволяет обновлять Snort-правила на множестве датчиков или создавать собственные правила и безопасно доставлять их датчикам. SnortCenter также позволяет удаленно запускать или останавливать датчики. Для наблюдения за сигналами тревоги SnortCenter может интегрироваться с ACID.

Установка консоли управления SnortCenter

Сначала необходимо установить консоль управления SnortCenter на web-сервер, имеющий как поддержку РНР, так и доступ к серверу баз данных MySQL, где SnortCenter будет хранить БД конфигурации. Для установки консоли управления загрузите дистрибутив со страницы http://users.pandora.be/larc/download/ и распакуйте его. При этом будет создан каталог www (не распаковывайте в уже существующий одноименный каталог!), в который будут помещены РНР-сценарии SnortCenter, графика и SQL-схемы. После этого скопируйте содержимое каталога www в подходящее место в корневом каталоге документов web-сервера, например: # tar xfz snortcenter-vl.O-RCl.tar.gz # ср -R www /var/www/htdocs/snortcenter

Для обеспечения связи SnortCenter с БД необходимо также установить ADODB (http://php.weblogs.com/adodb). Это PHP-пакет, обеспечивающий абстрактное функционирование БД. После загрузки из Сети ADODB-кода распакуйте его в корневой каталог документов (например, в /var/www/htdocs). Помимо этого необходимо установить curl (http://curl.haxx.se). Загрузите дистрибутив, распакуйте его и запустите ./configure && make install. В качестве альтернативного варианта он может поставляться в составе вашей операционной системы (версия Red Hat ОС Linux имеет RPM curl, а в BSD-системах он включен в дерево портов).

После того как все выполнено, необходимо уточнить config.php приложения SnortCenter (то есть файл /var/www/htdocs/snortcenter/config.php), указав в перечисленных далее переменных значения, соответствующие вашим условиям: $DBlib_path = и../adodb/": SDBtype = "mysql"; $DB_dbname = "SNORTCENTER"; $DB_host = "localhost"; $DB_port = "•'; $DB_user = "snortcenter": $DB_password = "snortcenterpass"; Shi dden_key_num =1823701983719312; Такая настройка укажет SnortCenter, что ADODB-код надо искать в каталоге adodb, расположенном в том же уровне, что и SnortCenter. Кроме того, SnortCenter должен подключаться к располагающейся на локальной машине БД MySQL с наименованием SNORTCENTER, используя имя snortcenter и пароль snortcenterpass.

Поскольку подключение к MySQL-серверу происходит на локальной машине, нет необходимости указывать номер порта. При подключении к БД, установленной на другой системе, необходимо указать 3389-й порт, являющийся для MySQL портом по умолчанию.

Агенты датчиков SnortCenter

Теперь можно перейти к настройке агента датчика (вот только сейчас!). Агенты датчиков SnortCenter написаны на языке Perl и для связи с консолью управления по зашифрованному каналу требуют наличия модуля Net::SSLeay. Если установлен модуль CPAN (относящийся к Perl), то установка Net::SSLeay выполняется командой # perl -MCPAN -e "install Net::SSLeay" Для установки программного кода агента его сначала необходимо распаковать. При распаковке будет создан каталог sensor, в который будет помещен весь код агента. Скопируйте этот каталог в надежное постоянное место, например: # tar xfz /tmp/snortcenter-agent-vl.O-RCl.tar.gz # ср -R sensor /usr/local/snortcenter.

Теперь можно настроить датчик с помощью меню Sensor Config и Resources. После того как создана удовлетворяющая вас конфигурация, она может «проталкиваться» необходимым датчикам с помощью пункта Push.

Категория: Защита информации | Добавил: george27 (08.10.2014)
Просмотров: 881 | Рейтинг: 5.0/1
Всего комментариев: 0
Имя *:
Email *:
Код *:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted