前期內容透過檢視文字檔案內所記錄的偵測資訊來找出惡意攻擊,本期實作將進一步打造具有資料庫功能的網路型入侵偵測系統,並透過網頁管理程式,以管理網頁的方式來檢視偵測紀錄。
Barnyard2提供了一個主要的執行程式(名稱為Barnyard2)和一個主要的組態設定檔(名稱為barnyard2.conf),在使用Barnyard2之前,同樣需要先設定barnyard2.conf,組態檔分成三個區段設定,分別說明如下。
首先,必須設定重要組態檔的位置。在此區段內須設定Suricata重要規則組態檔的位置,通常這些規則組態檔在Suricata軟體安裝的時候就會自動安裝進去,不必手動安裝。只要指定規則組態檔的位置即可,如圖2所示。
 |
| ▲圖2 指定規則組態檔的位置。 |
接著,設定Barnyard2的輸入格式,在此須選擇Unified2格式,如圖3所示。
 |
| ▲圖3 指定Barnyard2的輸入格式。 |
最後,在此區段中設定Barnyard2在運作時所需要的相關參數組態資料。大致上設定下列組態設定,其餘的組態使用預設即可:
設定好barnyard2.conf之後,接下來繼續說明Barnyard2執行時所使用的常用參數,如表2所示。
表2 Barnyard2常用參數
進行至此,大致已完成所需要的安裝及設定步驟。接著,即可設定Suricata的組態檔(suricata.yaml)來設定輸出共通輸出報表的格式,可沿用前期文章所設定的組態,而僅需更改如圖4所示的設定,來設定輸出共通輸出報表即可。
 |
| ▲圖4 設定輸出共通輸出報表。 |
然後啟動Suricata,就會在共通輸出報表的目錄內產生以「unified2.alert」為名的檔案,如圖5所示。
 |
| ▲圖5 啟動Suricata後產生以unified2.alert為名的檔案。 |
此時再啟動Barnyard2程式,執行下列指令:
至此,如果一切順利,Suricata所產出的共通輸出報表,應該可正常地匯入至資料庫。最後,再來安裝一套網頁介面的管理程式,讓管理者能夠更方便地管理相關資料。
安裝BASE網頁程式
BASE(Basic Analysis and Security Engine)是一套由PHP網頁程式語言所撰寫的網頁程式,主要是用來管理入侵偵測系統所產生的資訊,讓管理者能夠有效地利用此介面來管理入侵偵測系統所產生的事件。
在此假設已經建立一個能夠支援PHP的網站伺服器。由於BASE軟體有支援繪圖及電子郵件(E-mail)相關功能,所以還必須安裝相關的PHP模組,可利用PHP所提供的pear指令來安裝相關的模組,安裝指令如下所示:
在安裝相關的套件後,可利用「pear list」指令來檢查套件是否安裝成功,如果出現類似如圖6的輸出,即表示已安裝成功。
 |
| ▲圖6 BASE安裝成功。 |
除了需要PHP相關模組外,另外BASE程式還利用ADOdb程式庫來連接資料庫以便做相關的管理。ADOdb是一組抽象化的資料庫程式,允許使用者利用同一組函數來管理不同的資料庫,例如MySQL或PostgreSQL等知名的資料庫。
連結至ADOdb官方網站下載最新版的原始碼,將ADOdb置於網站的根目錄(DocumentRoot)即可。之後再下載最新版本的BASE程式,同樣地也置於網站根目錄下即可。
BASE軟體相當貼心地提供了線上設定的功能,可利用瀏覽器來做設定,相關設定步驟如下:
首先,檢查系統環境是否符合,若有不符合的情況,即會在此步驟中提示,如圖7所示。
 |
| ▲圖7 檢查系統環境條件合。 |