Weasel
Dieses HOWTO zu Linux oder der Abschnitt davon braucht eine Überarbeitung. Weitere Informationen findest Du hier. Deine Hilfe ist gefragt, das HOWTO zu verbessern. Danach entsorge bitte diese Signierung. |
Autor: Yehudi --> Dank an oc2pus
Achtung: |
Dies ist gerade nur eine Testversion die englischen Zitate stammen von: http://weasel.sourceforge.net/ |
Hinweis: |
|
Weasel ist ein GUI für snort.
Die Hauptvorteile sind:
- Einfach zu benutzen
- persistent filters
- Unterstützung beim Multi-Tabbed-Browsing/Mehrfach geöffnete Fenster
- schnelle flat Datenbank Schemen
- Integration von Snortcenter
- multithreaded output-plugin for snort
Folgende Pakete (inkl. eventueller Abhängigkeiten) müssen installiert sein: |
--> Note: This can actually be the same machine, or three different machines. |
# go to some convenient directory $ cd /tmp # get the sources $ firefox http://weasel.sf.net/ # copy the url of a weasel-0.0.4.tar.gz on a nearby sf.net mirror # then download $ wget http://.../.../weasel-0.0.4.tar.gz # untar sources $ tar -xzvf weasel-0.0.4.tar.gz
Inhaltsverzeichnis
Datenbank
# create new db # create new db and user # note: choose a more secure dbpassword and/or a better username # note: if you have snort-center, use their db instead and skip this step! $ mysql -u root -p mysql> CREATE DATABASE weaseldb; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL ON weaseldb.* TO weasel@localhost identified by 'dbpassword'; mysql> quit # import the schema $ mysql weaseldb -u root -p < weasel-0.0.4/db-schema/mysql.sql # import the extra data $ mysql weaseldb -u root -p < weasel-0.0.4/db-schema/inserts.sql
Die Datenbank habe ich über den phpMyAdmin importiert:
The Webbased GUI part
Den grafischen Weg: In das Verzeichnis:
/srv/www/htdocs/
gehen. Rechtsklick "Neu erstelen" --> Ordner
Diesen dann weasel nennen.
Im Konqueror das Fenster in linke und rechte Hälfte teilen. links in den Ordner gehen, wo das aus dem entpackten gz.file liegt. Dann in den Unterordner gui gehen, und den Inhalt in das rechte Fenster in den neu erzeugten Ordner
/srv/www/htdocs/
legen. In diesem Ordner ein Rechtsklick auf config_inc.php und auf öffnen mit mit Kate antworten.
Über die Konsole: Bei SUSE Linux/openSUSE
mkdir /srv/www/htdocs/weasel
Dort dann den Inhalt aus gui hinkopieren
cp -r weasel-0.0.4/gui/* /srv/www/htdocs/weasel
# configure gui $ vi /path/to/document_root/weasel/config_inc.php
In der Datei folgende Daten eingeben/ändern:
Es muss eigentlich nur das Passwort geändert werden:
$dbpasswd = 'Dein Passwort';
und wenn eine Anbindung an Snort-Center erwünscht wird:
weasel['useSC'] = true;
über * http://localhost/weasel/ kann sich der User jetzt einloggen:
Login: admin Pass: s3cr3t
Dies ist die Defaulteinstellung,über Administration Section, List Users sollten diese geändert werden.
Snort und Snort-plugin
- libpcap
- libpcre http://www.pcre.org/ muss kompiliert werden
- libmysqlclient (eventuell heißt dies unter SUSE anders)
./configure --enable-pthread --with-mysql=/usr
Dann:
make
anschließend:
make install
Hinweis: |
Wenn Snort bisher nicht auf dem PC installiert war, sind die snort rules runterzuladen und dann zu installieren. |
Snort Rules Installation
Anbindung
output weasel: mysql host=dbhost dbname=weaseldb user=weasel password=...