Acesta este fix-ul pentru Windows impotriva
csDOS (sau "misterul lui unnamed"), cel care poate sa va pice serverul
de CS. Este testat si functioneaza. Inainte sa va plangeti ca "nu a
mers" asigurati-va ca ati facut EXACT ca in tutorialul de mai jos. Bun,
si acum sa incepem.
--------------------
PROGRAME NECESARE
--------------------
1. O instalare de la zero a unuia dintre sistemele de operare: Windows 2000/XP/2003/Vista ,cu update-urile la zi
2. 1-5 GB spatiu pe disc (vom folosi drive-ul C:\ pentru acest tutorial)
3. O conexiune la internet
4. Un firewall: Zone Alarm Pro v6.5 a fost folosit pentru acest tutorial
5. O parte din pachetul WinIDS (Apache,ActivePerl,Snort,SnortSnarf,WinPcap): download de aici
6. Un fisier cu reguli pentru Snort: download de aici
7. IIS (Internet Information Services) TREBUIE sa fie dezinstalat
8. Un arhivator/dezarhivator: recomand WinRAR
--------------------
INSTALARE
--------------------
Incepeti cu instalarea firewall-ului. Nu va voi ghida la acest pas,
pentru ca softul poate fi diferit. Insa daca instalati Zone Alarm,
lasati setarile default, si alegeti la tipul conexiunii "Trusted Zone".
Dezarhivam WinIDS.rar in D:\temp\ (puteti folosi orice folder doriti,
in afara de C:\win-ids; D:\temp\ a fost locatia aleasa de mine si este
folosit doar pentru referinta)
=> Apache Web Server
Mergem in D:\temp\. Dublu-click pe apache_2.0.58-win32-x86-no_ssl.msi.
Click pe "Next", selectam "I accept" si dam click "Next", apoi dam inca
odata "Next".
Observatie: La fereastra "Server information" toate campurile trebuie
completate CORECT! Informatiile default pot fi corecte, iar campul
"SMTP Server" poate fi omis daca nu exista un astfel de server
instalat.
1. "Network Domain": introducem 'localhost' (fara ghilimele)
2. "Server name": introducem tot 'localhost'
3. "Administrator Email": introducem 'webmaster@localhost'
Dupa ce ati completat campurile de mai sus, dati "Next", selectati
"Custom", dati click pe "Next", apasati pe "Change" din dreptul
campului "Folder name:" si scrieti 'C:\win-ids\apache\' in campul
respectiv. Apasati "OK", apoi sub "Install" trebuie sa scrie
'c:\win-ids\apache\', dati click pe "Next", click pe "Install" si apoi
"Finish".
Observatie: Dupa instalare Apache porneste automat in tray (langa ceas, in partea dreapta-jos).
Dati click-dreapta pe acea icoana din tray si apoi click pe "Open
Apache Monitor", apasati pe "Stop" (dreapta), asteptati pana se opreste
Apache (trebuie sa apara un cerc rosu cu un X in interior) si apoi
apasati "OK".
Mergeti in 'c:\win-ids\apache\Apache2\conf\' si deschideti fisierul httpd.conf cu Notepad/Wordpad.
Observatie: Unele din variabilele de mai jos apar de mai multe ori in
httpd.conf. Verificati ca le inlocuiti PESTE TOT si ca NU LE SCRIETI
GRESIT. Este foarte important. Folositi metoda "copy+paste".
Cautati:
Cod:
#AddHandler cgi-script .cgi
Inlocuiti cu:
Cod:
AddHandler cgi-script .cgi
Cautati:
Cod:
Order allow,deny
Inlocuiti cu:
Cod:
Order deny,allow
Cautati:
Cod:
Allow from all
Inlocuiti cu:
Cod:
Deny from all
Allow from 127.0.0.1
Apoi salvati fisierul httpd.conf (CTRL+S) si inchideti Notepad/Wordpad.
=> WinPcap
Mergem in D:\temp\. Dublu-click pe WinPcap_3_1.exe. Dati click pe
"Next", selectati "Yes, I agree...", click "Next", click "Next" si apoi
click "OK".
=> Snort
Mergem in D:\temp\. Dublu-click pe Snort_2_4_5_Installer.exe. Dati
click pe "I Agree", click "Next" (nu modificati nimic), click "Next",
la 'Destination Folder:' treceti 'c:\win-ids\snort\', click "Next"
(Allow Snort to install), click "Close" si apoi click "OK".
Mergem in D:\temp\. Click-dreapta pe snortrules-snapshot-CURRENT.zip si
selectati "Copy". Apoi, mergem in c:\win-ids\snort\ si dam
click-dreapta si selectam "Paste". Apoi, click-dreapta pe
snortrules-snapshot-CURRENT.zip si selectati "Extract here". Acum
stergeti snortrules-snapshot-CURRENT.zip.
Mergeti in 'c:\win-ids\snort\etc\' si deschideti fisierul snort.conf cu Notepad/Wordpad.
Cautati:
Cod:
var HOME_NET any
Inlocuiti cu:
Cod:
var HOME_NET IP/24
Observatie: Inlocuiti IP cu IP-ul vostru cu care iesiti pe internet.
Cautati:
Cod:
var RULE_PATH ../rules
Inlocuiti cu:
Cod:
var RULE_PATH c:\win-ids\snort\rules
Observatie: Cautati 'Preprocessor sfportscan' si acolo inlocuiti setarea care urmeaza.
Cautati:
Cod:
sense_level { low }
Inlocuiti cu:
Cod:
sense_level { low } \
Sub linia modificata anterior, adaugati:
Cod:
logfile { portscan.log }
Cautati:
Cod:
# output log_tcpdump: tcpdump.log
Sub ea, adaugati:
Cod:
output alert_fast: alert.ids
Cautati:
Cod:
include classification.config
Inlocuiti cu:
Cod:
include c:\win-ids\snort\etc\classification.config
Cautati:
Cod:
include reference.config
Inlocuiti cu:
Cod:
include c:\win-ids\snort\etc\reference.config
Cautati:
Cod:
# include threshold.conf
Inlocuiti cu:
Cod:
include c:\win-ids\snort\etc\threshold.conf
Apoi salvati fisierul httpd.conf (CTRL+S) si inchideti Notepad/Wordpad.
=> Testare Snort
Deschidem un Command Prompt (Start -> Run -> cmd -> OK). Apoi scriem:
Cod:
cd c:\win-ids\snort\bin
si apasam ENTER. Apoi scriem:
Cod:
snort -W
si apasam ENTER. Vor aparea o lista de interfete numerotate (1,2,.,x). Rulam apoi comanda:
Cod:
snort -v -ix
unde inlocuiti x cu numarul corespunzator interfetei folosite pentru
conectarea la internet. Daca incepe sa apara trafic in Command Prompt,
atunci ati selectat corect interfata. Daca nu, incercati-le pe
celelalte.
Observatie: Va trebui sa tineti minte id-ul interfetei (1,2,...,x) pentru mai tarziu.
Acum apasati CTRL+C pentru a opri Snort, dar nu inchideti Command Prompt.
=> Configurare Snort ca serviciu
In Command Prompt, scrieti comanda:
Cod:
snort /SERVICE /INSTALL -c c:\win-ids\snort\etc\snort.conf -l c:\win-ids\apache\apache2\htdocs\log -K ascii -ix
Observatie: Inlocuiti x-ul de la sfarsit (-ix) cu ID-ul interfetei.
Daca ati scris corect comanda si serviciul a fost instalat cu succes, veti primi urmatoarul mesaj:
Cod:
[SNORT_SERVICE] Successfully added the Snort service to the Services database.
Acum scrieti 'exit' in Command Prompt (fara ghilimele) si apasati ENTER.
Mergem in Control Panel -> Administrative Tools si dam dublu-click
pe 'Services'. Dam scroll pana ajungem la "Snort" (asta daca comanda de
mai sus v-a returnat mesajul de confirmare). Dam click-dreapta pe
'Snort' si selectam 'Properties'. In tab-ul "General", sub 'Startup
type', in lista este selectat 'Manual'. Dati click pe lista si
selectati 'Automatic'.
Observatie: NU DATI START Snort-ului acum pentru ca va va da o eroare si va trebui sa o luati de la capat.
Click pe 'Apply' si apoi click 'OK'. Inchideti ferestrele 'Services' si 'Control Panel'.
=> Instalare si configurare Perl
Mergem in D:\temp\. Dublu-click pe
ActivePerl-5.6.1.635-MSWin32-x86.msi. Click "Next", selectati "I accept
the terms...", click "Browse", iar in locatia de instalare scrieti:
'c:\win-ids\perl\', click "OK", click "Next", click "Next", click
"Next", click "Install", asteptati sa se instaleze, debifati casuta
'Display the release notes' si click "Finish".
Deschideti un Command Prompt (Start -> Run -> cmd -> OK). Apoi scrieti:
Cod:
mkdir c:\win-ids\apache\apache2\htdocs\log
si apasati ENTER. Apoi scrieti comanda:
Cod:
mkdir c:\win-ids\apache\apache2\htdocs\cgi-bin
si apasati ENTER. Apoi scrieti comanda 'exit' si apasati ENTER.
=> Instalare SnortSnarf
Mergem in D:\temp\. Click-dreapta pe SnortSnarf-050314.1.zip si
selectati "Copy". Apoi, mergem in c:\win-ids\ si dam click-dreapta si
selectam "Paste". Apoi, click-dreapta pe SnortSnarf-050314.1.zip si
selectati "Extract here". Acum stergeti SnortSnarf-050314.1.zip.
=> Instalare Time Modules
Deschidem un Command Prompt (Start -> Run -> cmd -> OK). Apoi scriem:
Cod:
xcopy c:\win-ids\snortsnarf\Time-modules\* c:\win-ids\perl\site\lib\ /E
apoi apasam ENTER.
Observatie: Nu inchideti Command Prompt.
=> Instalare Annotations
Scrieti in Command Prompt comanda urmatoare:
Cod:
copy c:\win-ids\snortsnarf\cgi\* c:\win-ids\apache\apache2\htdocs\cgi-bin\
apoi apasati ENTER. Apoi, scrieti comanda:
Cod:
xcopy c:\win-ids\snortsnarf\include\* c:\win-ids\perl\site\lib\ /E
si apasati ENTER. Acum, scrieti comanda urmatoare:
Cod:
c:\win-ids\snortsnarf\utilities\setup_anns_dir.pl c:\win-ids\snortsnarf\ann-dir annotation-base.xml
si apasati ENTER. Apoi, tastati 'exit' si apasati ENTER.
Dupa ce s-a inchis Command Prompt, dati un reboot (Start -> Turn Off Computer -> Restart).
=> Pornire consola de alerte SnortSnarf
Mergem in c:\win-ids\snortsnarf\. Click-dreapta pe fisierul
'starta.bat' si apoi click pe optiunea 'Send to -> Desktop'. Aceasta
operatie va crea un shortcut al acestui fisier pe Desktop. Daca doriti
sa ii schimbati numele, mergeti pe Desktop si selectati 'Shortcut to
starta.bat', click-dreapta pe el si click 'Rename.'. Apoi dublu-click
pe acest shortcut si baza de date va fi updatata. Pentru a vedea
alertele generate de SnortSnarf accesati 'http://localhost/log/'.
Observatie: Aceasta consola de alerte nu isi da refresh imediat, deci
s-ar putea sa nu vedeti nici o schimbare imediat dupa executarea
acestui shortcut. De asemenea, daca nu sunt atacuri asupra
calculatorului, fisierele de la 'http://localhost/log/' nu se vor
modifica.
=> Auto-update al alertelor (OPTIONAL)
Mergeti in Control Panel, dublu-click pe 'Scheduled Tasks', dublu-click
'Add Scheduled Task', click Next, click 'Browse' iar in dreptul
'Filename:' tastati 'c:\win-ids\snortsnarf\starta.bat' (fara
ghilimele), apoi click 'Open'. Selectati 'Daily', click 'Next', in
campul 'Start Time:' puneti ora la care doriti sa se faca update-ul,
click 'Next', lasati 'Enter the user name:' asa cum este, iar daca
aveti parola pe acel user, tastati de doua ori acea parola in 'Enter
the password:' si 'Confirm password:'. Apoi, click 'Next', click 'Open
advanced properties', click 'Finish'.
Click pe tab-ul 'Schedule', click 'Advanced', click 'Repeat task', la
'Every' setati 1 ora, click Duration si puneti '24' (fara ghilimele).
Apoi click 'OK', click 'Apply'.
Observatie: Procedura de mai sus duce la executarea update-ului in fiecare zi la ora selectata.
=> Aplicare fix pentru HLDS
Copiati fisierul hlds.rules, downloadat la inceput, in
'c:\win-ids\snort\rules\'. Apoi, deschideti cu Notepad/Wordpad fisierul
'c:\win-ids\snort\etc\snort.conf' si cautati liniile de genul include
$RULE_PATH/*.rules si adaugati sub toate cele existente linia
urmatoare:
Cod:
include $RULE_PATH/hlds.rules
Apoi dati un reboot la PC si gata!
Observatie: Fisierul hlds.rules contine protectie doar asupra portului
27015. Daca doriti si pe alte porturi, copiati-l in alt fisier
(hldsx.rules) si modificati portul, apoi urmati procedura de mai sus.
Cam asta a fost tot, la restart va porni automat Snort si va loga toate
atacurile, blocandu-le doar pe cele din fisierele de tip .rules.
Daca apar probleme nu ezitati sa le postati