上一篇文章中介紹在高速網路的環境下如何使用Open vSwitch產生sFlow流量,並透過Snort完成自動檢查流量機制,藉以找出可疑的流量。本期文章將繼續介紹如何安裝、設定及使用強大的Snort前台程式「Snorby」,以達到人性化管理的目的。
在學會安裝、設定Snort前台程式「Snorby」,並加以充分運用之餘,筆者同時希望能夠透過Snorby來完成自動化的通知及告警機制,從而減少人力的負擔。為了增加讀者的印象,將之前的安裝流程繪製成圖1。
 |
| ▲圖1 完整安裝流程。 |
事實上,Snort前台介面的候選者相當多,老牌子的ACID或BASE都曾經是不錯的選擇,安裝及設定都相當簡單,但兩者都已經許久未更新。ACID上次更新日期是2003年1月8日。承襲ACID的BASE上次更新日則是2009年3月28日,都距今已久。
此外,兩年前筆者使用BASE時發現當資料筆數眾多時,操作BASE會有嚴重的延遲。
筆者在實際測試以及安裝數套Snort的前台軟體之後,找出了兩套目前最具有競爭力的前台軟體:Snorby和SQueRT,這兩套前台軟體都具有美觀的介面和強大的功能。
最後,在參考「http://www.snort.org/assets/187/Snort_Frontend_Compare.pdf」的比較表之後,筆者選擇了Snorby作為此次整合的對象。
Snorby的安裝過程
讀者可以先參觀Snorby的官方網站「http://snorby.org/」,該網站有提供Demo的功能,可以預先觀看Snorby的介面,並且實際進行操作,以檢驗Snorby是否是自己理想中的前台軟體。
這裡再提醒一下,Snorby的安裝過程相當繁瑣,若讀者單純只是想要有一個Snort的前台程式,直接安裝使用BASE即可,方法如下:
如果還是決定要挑戰一下Snorby,使用更美觀的介面以及更強大的功能,那麼就跟隨著筆者的介紹操作下去。
安裝Snorby所需套件
同樣使用與上文相同的Linux Ubuntu 11.10 Server版進行安裝。在安裝開始之前,先更新APT的資料庫,並將已安裝軟體的版本更新。
由於Snorby使用git進行版本的管控,為確定安裝的是最新的版本,所以必須安裝git,並且一併安裝jre,並在安裝完成後將伺服器重開。
Snorby顧名思義是由Snort與Ruby所組合而成的。因此安裝Snorby之前,必須先安裝Ruby。新版的Snorby要求Ruby的版本必須在1.9.2版以上、Rails的版本需3.0.0以上、ImageMagick的版本要在6.6.4-5以上。
由於Ubuntu 11.10預設安裝的Ruby與Rails版本較舊,因此這兩套軟體必須手動安裝。接著安裝無須手動設定的imagemagick和wkhtmltopdf。imagemagick用來處理圖片,wkhtmltopdf可將html轉為pdf檔。
下載安裝Ruby和Rails
手動下載Ruby的原始程式,將其解壓縮並進行編譯及安裝。