snort-windows平台安装.doc

安装环境主要硬件：ProLiant DL365 G12200MHZ*21024MB667MHZ * 4主要软件：Windows Server 2003 + Sp2 MS SQL 2000 + Sp4相关软件及下载地址：Apache_2.2.6-win32-x86Php-5.2.4-Win32/downloads.phpSnort_2_8_0_Installer/dl/binaries/win32/WinPcap_4_0_1http:/winpcap.polito.it/base-1.3.8/project/showfiles.php?group_id=103348ActivePerl-35-MSWin32-x86adodb502a/project/showfiles.php?group_id=42718jpgraph-2.2http:/www.aditus.nu/jpgraph/jpdownload.phpphp5.2-win32-200710150430 /eventwatchnt_v233 oinkmaster-2.0/download.shtml配置过程先看一下软件在安装的过程中需要选择安装路径或解压缩路径时的大致目录结构D:win-idstreeFolder PATH listingVolume serial number is 0006EE50 9C9B:B24BD:.+-adodb+-apache_D:win-idsapachehtdocsbase+-eventwatchnt+-oinkmaster+-perl+-php+-snort1 安装apache1.1: 设置server information，根据自己的实际情况进行修改SI“For all user on port 80”1.2安装路径d:win-idsapache完毕后应该可以看到apache在系统托盘上的图标了，在浏览器中打开 看是否有成功页面的提示？1.3编辑d:win-idsapacheconfhttpd.conf1.3.1注意，此步在2.3和2.4 之间进行时操作。因为我们所选择的软件均为当前最新版本。而apache2.2.6与php5.2.4是有点小问题的。解决方法： 用下载的php5.2-win32-200710150430中的php5apache2_2.dll文件替换掉php目录下的同名文件，并将httpd.conf里面的php5apache2.dll改为php5apache2_2.dll,即下一条。1.3.2在文件头插入以下三行：LoadModule php5_module d:/win-ids/php/php5apache2_2.dll AddType application/x-httpd-php .php PHPIniDir d:/win-ids/php1.3.3搜索original内容，并变更为change内容Original: Order allow,deny Change: Order deny,allow Original: Allow from all Change: Deny from all 1.3.4在“deny from all”之后插入两行:Allow from DirectoryIndex index.html index.php2 安装php2.1 解压路径 d:win-idsphp2.2 拷贝文件copy d:win-idsphpntwdblib.dll c:windowssystem32 copy d:win-idsphpphp.ini-dist d:win-idsphpphp.ini2.3 编辑配置文件d:win-idsphpphp.ini2.3.1搜索original内容，并变更为change内容Original: max_execution_time = 30 Change: max_execution_time = 60 Original: display_errors = On Change: display_errors = Off Original: extension_dir = ./ Change: extension_dir = d:win-idsphpext Original: ; extension=php_gd2.dll Change: extension=php_gd2.dllOriginal: ; extension=php_mssql.dll Change: extension=php_mssql.dll Original: ; file_uploads = onChange:file_uploads = offOriginal: ; session.save_path = /tmp Change: session.save_path = c:windowstemp2.3.2 进行1.3.1 操作2.4 测试apache 与php将下面一行代码保存为info.php,并放在D:win-idsapachehtdocs 目录下在浏览器中打开 /info.php 看是否能正常显示服务器的相关信息？3 安装pearPear插件的安装脚本默认包含在PHP的主目录下，运行go-pear.bat对pear安装选项进行配置，安装前需要保证Internet连接正常。设置好安装目录就会自动下载安装所需内容(默认不用修改)，完成安装后，还需要通过Pear安装图表支持的插件。在CMD中进入pear.bat所在目录，这里就是D:win-idsphp。运行下面命令： pear install image_color pear install image_canvas-alpha pear install image_graph-alpha pear list （检查当前 pear 安装情况,是否已经安装好了以上几个关键文件）4 安装adodbADODB是用于PHP的数据库连接插件，因为它是基于php的，所以只需要将软件包复制到WEB发布目录下，即：D:win-idsapachehtdocsadodb，后面在配置BASE时会需要设定这个目录进行调用5 配置 mssql5.1 创建两个新数据:snort,archive。注意设置数据库文件的保存路径。尽量是单独大分区5.2 创建两个新帐户:snort,base。Snort:验证方式：sql server authentication帐户密码：xxx帐户角色：system administrators数据库访问：snort/publicBase:验证方式：sql server authentication帐户密码：yyy帐户角色：system administrators数据库访问：archive/public5.3 选中snort数据库，设置属性，访问权限，public一行，选中所有复选框5.4 在查询分析器中执行以下脚本5.4.1注意选择数据库对象是snortd:win-idssnortschemascreate_mssql5.4.2 注意选择数据库对象是archive脚本内容同上6 安装 base6.1复制解压后的BASE软件包至WEB发布目录：D:win-idsapachehtdocsbase 。在浏览器中输入/base/setup/进行初始配置。BASE支持多国语言其中也包括简体中文，但似乎目前中文支持还不是很完善，为确保系统稳定还是选择英文。然后输入adodb组件的安装目录，BASE会对它进行调用。输入上一步设置好的数据库相关信息。数据库名称，帐户，密码.6.2 设置BASE的用户认证与管理员账号信息设置低权限的浏览帐户和高级别的管理帐户7安装activeperl可以完全默认安装。只是为了保持软件的整体一致，所以安装路径为D:win-idsperl，其它默认。8 安装wincap可以完全默认安装。9 安装snort 9.1 注意选择 “I need support for logging to Microsoft SQL Server”9.2 安装路径 d:win-idssnort9.3 编辑配置文件 d:win-idssnortetcsnort.conf9.3.1 监控范围：Original: var HOME_NET any 9.3.2 搜索original内容，并变更为change内容Original: var RULE_PATH ./rules Change: var RULE_PATH d:win-idssnortrulesOriginal: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/Change:dynamicpreprocessor directory d:win-idssnort libsnort_dynamicpreprocessorOriginal: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.soChange:dynamicengine d:win-idssnort libsnort_dynamicenginesf_engine.dllOriginal: # # output database: log, mssql, dbname=snort user=snort password=test Change: output database: log, mssql, dbname=snort user=snort password=xxx Original: include classification.config Change: include d:win-idssnortetcclassification.config Original: include reference.config Change: include d:win-idssnortetcreference.config Original: # output alert_syslog: LOG_AUTH LOG_ALERT Change: output alert_syslog: LOG_AUTH LOG_ALERT在# output log_tcpdump: tcpdump.log 行之后插入行output alert_fast: alert.ids9.3.3 测试 snort#查看系统网卡D:win-idssnortbinsnort -W1 DeviceNPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)2 DeviceNPF_F90981E5-83ED-42A8-928A-33A3E7F47491 (Broadcom L2 NDIS client driver)3 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)snort监听网卡2，如果网卡多可以先禁用一个？两个？来测试D:win-idssnortbinsnort -v -i2Not Using PCAP_FRAMES10/18-09:15:22.098372 ARP who-has 18 tell 5310/18-09:15:22.110477 ARP who-has 3 tell 5310/18-09:15:22.196358 ARP who-has 0 tell 2.如果能够得到像上面的数据信息，说明安装好了#继续测试，因为要安装为服务，先测试一下安装服务前的命令行参数都是否正确。D:win-idssnortbinsnort -c d:win-idssnortetcsnort.conf -i 2 -l d:win-idssnortlog -d -e Preprocessor Object: SF_DCERPC Version 1.0 Not Using PCAP_FRAMES如果是上面的结果，说明基本没有问题了#将snort安装为系统服务D:win-idssnortbinsnort /SERVICE /INSTALL -c d:win-idssnortetcsnort.conf -i 3 -l d:win-idssnortlog -d -eSNORT_SERVICE Successfully added the Snort service to the Services database.如果看到上面的提示说明是成功的。change the services startup type to automatic!#此时安装的snort服务为手工启动模式，我们可以在services.msc中来设置snort的启动方式为自启动模式#如果过程有测试改变了snort.conf配置的时候，重新启动snort服务来进行重新加载配置load the new snort.conf:D:win-idssnortbinnet stop snortsvcD:win-idssnortbinnet start snortsvc#如果命令行有误，或服务有问题，可以删除snort服务D:win-idssnortbinsc delete snortsvc#有一个小问题：在禁用了网卡后再启用的时候，snort W 下的编号不一定还相同！question:when a connection status is turn abled.the interface number is also changed!1 DeviceNPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)2 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)D:win-idssnortbinsnort -W1 DeviceNPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)2 DeviceNPF_F90981E5-83ED-42A8-928A-33A3E7F47491 (Broadcom L2 NDIS client driver)3 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)ping xxxx t 来测试一下 或者扫描一下现在可以用浏览器访问 /base/就可以实时查看结果了.10安装oinkmaster10.1解压oinkmaster到d:win-ids10.2运行d:win-idsoinkmastercontrib oinkgui.pl10.3 配置 oinkmaster配置页 equired files and directories d:win-idsoinkmasteroinkmaster.pld:win-idsoinkmasteroinkmaster.confd:win-idssnortrules配置页 Optional files and directories/dl/rules/snortrules-snapshot-CURRENT.tar.gzd:win-idssnortetcsnort.confd:win-idssnorttempC:Program FilesWindows NTAccessorieswordpad.exe在命令行CMD下，执行以下命令Ppminstall IO-Zlibquitexit配置完毕，参考文章上说有Test configuration 菜单，但是我没有看到但是可以用Update rules 菜单来代替，直接看升级效果是否正常。每次升级rules成功后，都需要snort服务重新启动一次。加载最新的规则库11安装eventwatchnt此项需要有SMTP服务器供IDS使用11.1 twatchnt解压d:win-idseventwatchnt11.2 运行entwatchnt.exe11.3 配置Sender Name: IDSSender Email Address: Recipients: SMPT Server:Email Subject: xx级别报警Filter(s): Priority: 1Ty