Acesta este fix-ul pentru Windows impotriva csDOS (sau "misterul lui unnamed"), cel care poate sa va pice serverul de CS. Este testat si functioneaza. Inainte sa va plangeti ca "nu a mers" asigurati-va ca ati facut EXACT ca in tutorialul de mai jos. Bun, si acum sa incepem.
--------------------
PROGRAME NECESARE
--------------------
1. O instalare de la zero a unuia dintre sistemele de operare: Windows 2000/XP/2003/Vista ,cu update-urile la zi
2. 1-5 GB spatiu pe disc (vom folosi drive-ul C:\ pentru acest tutorial)
3. O conexiune la internet
4. Un firewall: Zone Alarm Pro v6.5 a fost folosit pentru acest tutorial
5. O parte din pachetul WinIDS (Apache,ActivePerl,Snort,SnortSnarf,WinPcap):
download de aici6. Un fisier cu reguli pentru Snort:
download de aici7. IIS (Internet Information Services) TREBUIE sa fie dezinstalat
8. Un arhivator/dezarhivator: recomand WinRAR
--------------------
INSTALARE
--------------------
Incepeti cu instalarea firewall-ului. Nu va voi ghida la acest pas, pentru ca softul poate fi diferit. Insa daca instalati Zone Alarm, lasati setarile default, si alegeti la tipul conexiunii "Trusted Zone".
Dezarhivam WinIDS.rar in D:\temp\ (puteti folosi orice folder doriti, in afara de C:\win-ids; D:\temp\ a fost locatia aleasa de mine si este folosit doar pentru referinta)
=> Apache Web Server
Mergem in D:\temp\. Dublu-click pe apache_2.0.58-win32-x86-no_ssl.msi. Click pe "Next", selectam "I accept" si dam click "Next", apoi dam inca odata "Next".
Observatie: La fereastra "Server information" toate campurile trebuie completate CORECT! Informatiile default pot fi corecte, iar campul "SMTP Server" poate fi omis daca nu exista un astfel de server instalat.
1. "Network Domain": introducem 'localhost' (fara ghilimele)
2. "Server name": introducem tot 'localhost'
3. "Administrator Email": introducem 'webmaster@localhost'
Dupa ce ati completat campurile de mai sus, dati "Next", selectati "Custom", dati click pe "Next", apasati pe "Change" din dreptul campului "Folder name:" si scrieti 'C:\win-ids\apache\' in campul respectiv. Apasati "OK", apoi sub "Install" trebuie sa scrie 'c:\win-ids\apache\', dati click pe "Next", click pe "Install" si apoi "Finish".
Observatie: Dupa instalare Apache porneste automat in tray (langa ceas, in partea dreapta-jos).
Dati click-dreapta pe acea icoana din tray si apoi click pe "Open Apache Monitor", apasati pe "Stop" (dreapta), asteptati pana se opreste Apache (trebuie sa apara un cerc rosu cu un X in interior) si apoi apasati "OK".
Mergeti in 'c:\win-ids\apache\Apache2\conf\' si deschideti fisierul httpd.conf cu Notepad/Wordpad.
Observatie: Unele din variabilele de mai jos apar de mai multe ori in httpd.conf. Verificati ca le inlocuiti PESTE TOT si ca NU LE SCRIETI GRESIT. Este foarte important. Folositi metoda "copy+paste".
Cautati:
- Cod:
-
#AddHandler cgi-script .cgi
Inlocuiti cu:
- Cod:
-
AddHandler cgi-script .cgi
Cautati:
- Cod:
-
Order allow,deny
Inlocuiti cu:
- Cod:
-
Order deny,allow
Cautati:
- Cod:
-
Allow from all
Inlocuiti cu:
- Cod:
-
Deny from all
Allow from 127.0.0.1
Apoi salvati fisierul
httpd.conf (CTRL+S) si inchideti Notepad/Wordpad.
=>
WinPcapMergem in D:\temp\. Dublu-click pe WinPcap_3_1.exe. Dati click pe "Next", selectati "Yes, I agree...", click "Next", click "Next" si apoi click "OK".
=>
SnortMergem in D:\temp\. Dublu-click pe Snort_2_4_5_Installer.exe. Dati click pe "I Agree", click "Next" (nu modificati nimic), click "Next", la 'Destination Folder:' treceti 'c:\win-ids\snort\', click "Next" (Allow Snort to install), click "Close" si apoi click "OK".
Mergem in D:\temp\. Click-dreapta pe snortrules-snapshot-CURRENT.zip si selectati "Copy". Apoi, mergem in c:\win-ids\snort\ si dam click-dreapta si selectam "Paste". Apoi, click-dreapta pe snortrules-snapshot-CURRENT.zip si selectati "Extract here". Acum stergeti snortrules-snapshot-CURRENT.zip.
Mergeti in 'c:\win-ids\snort\etc\' si deschideti fisierul snort.conf cu Notepad/Wordpad.
Cautati:
- Cod:
-
var HOME_NET any
Inlocuiti cu:
- Cod:
-
var HOME_NET IP/24
Observatie: Inlocuiti IP cu IP-ul vostru cu care iesiti pe internet.
Cautati:
- Cod:
-
var RULE_PATH ../rules
Inlocuiti cu:
- Cod:
-
var RULE_PATH c:\win-ids\snort\rules
Observatie: Cautati 'Preprocessor sfportscan' si acolo inlocuiti setarea care urmeaza.
Cautati:
- Cod:
-
sense_level { low }
Inlocuiti cu:
- Cod:
-
sense_level { low } \
Sub linia modificata anterior, adaugati:
- Cod:
-
logfile { portscan.log }
Cautati:
- Cod:
-
# output log_tcpdump: tcpdump.log
Sub ea, adaugati:
- Cod:
-
output alert_fast: alert.ids
Cautati:
- Cod:
-
include classification.config
Inlocuiti cu:
- Cod:
-
include c:\win-ids\snort\etc\classification.config
Cautati:
- Cod:
-
include reference.config
Inlocuiti cu:
- Cod:
-
include c:\win-ids\snort\etc\reference.config
Cautati:
- Cod:
-
# include threshold.conf
Inlocuiti cu:
- Cod:
-
include c:\win-ids\snort\etc\threshold.conf
Apoi salvati fisierul
httpd.conf (CTRL+S) si inchideti Notepad/Wordpad.
=> Testare Snort
Deschidem un Command Prompt (Start -> Run -> cmd -> OK). Apoi scriem:
- Cod:
-
cd c:\win-ids\snort\bin
si apasam ENTER. Apoi scriem:
- Cod:
-
snort -W
si apasam ENTER. Vor aparea o lista de interfete numerotate (1,2,.,x). Rulam apoi comanda:
- Cod:
-
snort -v -ix
unde inlocuiti x cu numarul corespunzator interfetei folosite pentru conectarea la internet. Daca incepe sa apara trafic in Command Prompt, atunci ati selectat corect interfata. Daca nu, incercati-le pe celelalte.
Observatie: Va trebui sa tineti minte id-ul interfetei (1,2,...,x) pentru mai tarziu.
Acum apasati CTRL+C pentru a opri Snort, dar nu inchideti Command Prompt.
=> Configurare Snort ca serviciu
In Command Prompt, scrieti comanda:
- Cod:
-
snort /SERVICE /INSTALL -c c:\win-ids\snort\etc\snort.conf -l c:\win-ids\apache\apache2\htdocs\log -K ascii -ix
Observatie: Inlocuiti x-ul de la sfarsit (-ix) cu ID-ul interfetei.
Daca ati scris corect comanda si serviciul a fost instalat cu succes, veti primi urmatoarul mesaj:
- Cod:
-
[SNORT_SERVICE] Successfully added the Snort service to the Services database.
Acum scrieti 'exit' in Command Prompt (fara ghilimele) si apasati ENTER.
Mergem in Control Panel -> Administrative Tools si dam dublu-click pe 'Services'. Dam scroll pana ajungem la "Snort" (asta daca comanda de mai sus v-a returnat mesajul de confirmare). Dam click-dreapta pe 'Snort' si selectam 'Properties'. In tab-ul "General", sub 'Startup type', in lista este selectat 'Manual'. Dati click pe lista si selectati 'Automatic'.
Observatie: NU DATI START Snort-ului acum pentru ca va va da o eroare si va trebui sa o luati de la capat.
Click pe 'Apply' si apoi click 'OK'. Inchideti ferestrele 'Services' si 'Control Panel'.
=> Instalare si configurare Perl
Mergem in D:\temp\. Dublu-click pe ActivePerl-5.6.1.635-MSWin32-x86.msi. Click "Next", selectati "I accept the terms...", click "Browse", iar in locatia de instalare scrieti: 'c:\win-ids\perl\', click "OK", click "Next", click "Next", click "Next", click "Install", asteptati sa se instaleze, debifati casuta 'Display the release notes' si click "Finish".
Deschideti un Command Prompt (Start -> Run -> cmd -> OK). Apoi scrieti:
- Cod:
-
mkdir c:\win-ids\apache\apache2\htdocs\log
si apasati ENTER. Apoi scrieti comanda:
- Cod:
-
mkdir c:\win-ids\apache\apache2\htdocs\cgi-bin
si apasati ENTER. Apoi scrieti comanda 'exit' si apasati ENTER.
=> Instalare SnortSnarf
Mergem in D:\temp\. Click-dreapta pe SnortSnarf-050314.1.zip si selectati "Copy". Apoi, mergem in c:\win-ids\ si dam click-dreapta si selectam "Paste". Apoi, click-dreapta pe SnortSnarf-050314.1.zip si selectati "Extract here". Acum stergeti SnortSnarf-050314.1.zip.
=> Instalare Time Modules
Deschidem un Command Prompt (Start -> Run -> cmd -> OK). Apoi scriem:
- Cod:
-
xcopy c:\win-ids\snortsnarf\Time-modules\* c:\win-ids\perl\site\lib\ /E
apoi apasam ENTER.
Observatie: Nu inchideti Command Prompt.
=> Instalare Annotations
Scrieti in Command Prompt comanda urmatoare:
- Cod:
-
copy c:\win-ids\snortsnarf\cgi\* c:\win-ids\apache\apache2\htdocs\cgi-bin\
apoi apasati ENTER. Apoi, scrieti comanda:
- Cod:
-
xcopy c:\win-ids\snortsnarf\include\* c:\win-ids\perl\site\lib\ /E
si apasati ENTER. Acum, scrieti comanda urmatoare:
- Cod:
-
c:\win-ids\snortsnarf\utilities\setup_anns_dir.pl c:\win-ids\snortsnarf\ann-dir annotation-base.xml
si apasati ENTER. Apoi, tastati 'exit' si apasati ENTER.
Dupa ce s-a inchis Command Prompt, dati un reboot (Start -> Turn Off Computer -> Restart).
=> Pornire consola de alerte SnortSnarf
Mergem in c:\win-ids\snortsnarf\. Click-dreapta pe fisierul 'starta.bat' si apoi click pe optiunea 'Send to -> Desktop'. Aceasta operatie va crea un shortcut al acestui fisier pe Desktop. Daca doriti sa ii schimbati numele, mergeti pe Desktop si selectati 'Shortcut to starta.bat', click-dreapta pe el si click 'Rename.'. Apoi dublu-click pe acest shortcut si baza de date va fi updatata. Pentru a vedea alertele generate de SnortSnarf accesati 'http://localhost/log/'.
Observatie: Aceasta consola de alerte nu isi da refresh imediat, deci s-ar putea sa nu vedeti nici o schimbare imediat dupa executarea acestui shortcut. De asemenea, daca nu sunt atacuri asupra calculatorului, fisierele de la 'http://localhost/log/' nu se vor modifica.
=> Auto-update al alertelor (OPTIONAL)
Mergeti in Control Panel, dublu-click pe 'Scheduled Tasks', dublu-click 'Add Scheduled Task', click Next, click 'Browse' iar in dreptul 'Filename:' tastati 'c:\win-ids\snortsnarf\starta.bat' (fara ghilimele), apoi click 'Open'. Selectati 'Daily', click 'Next', in campul 'Start Time:' puneti ora la care doriti sa se faca update-ul, click 'Next', lasati 'Enter the user name:' asa cum este, iar daca aveti parola pe acel user, tastati de doua ori acea parola in 'Enter the password:' si 'Confirm password:'. Apoi, click 'Next', click 'Open advanced properties', click 'Finish'.
Click pe tab-ul 'Schedule', click 'Advanced', click 'Repeat task', la 'Every' setati 1 ora, click Duration si puneti '24' (fara ghilimele). Apoi click 'OK', click 'Apply'.
Observatie: Procedura de mai sus duce la executarea update-ului in fiecare zi la ora selectata.
=> Aplicare fix pentru HLDS
Copiati fisierul hlds.rules, downloadat la inceput, in 'c:\win-ids\snort\rules\'. Apoi, deschideti cu Notepad/Wordpad fisierul 'c:\win-ids\snort\etc\snort.conf' si cautati liniile de genul include $RULE_PATH/*.rules si adaugati sub toate cele existente linia urmatoare:
- Cod:
-
include $RULE_PATH/hlds.rules
Apoi dati un reboot la PC si gata!
Observatie: Fisierul hlds.rules contine protectie doar asupra portului 27015. Daca doriti si pe alte porturi, copiati-l in alt fisier (hldsx.rules) si modificati portul, apoi urmati procedura de mai sus.
Cam asta a fost tot, la restart va porni automat Snort si va loga toate atacurile, blocandu-le doar pe cele din fisierele de tip .rules.
Autor:
Weapon