Weasel

Autor: Yehudi --> Dank an oc2pus

Achtung:

Dies ist gerade nur eine Testversion die englischen Zitate stammen von: http://weasel.sourceforge.net/

Hinweis:

Hier wird die Anbindung mit MySQL beschrieben

Weasel ist ein GUI für snort.

Die Hauptvorteile sind:

• Einfach zu benutzen
• persistent filters
• Unterstützung beim Multi-Tabbed-Browsing/Mehrfach geöffnete Fenster
• schnelle flat Datenbank Schemen
• Integration von Snortcenter
• multithreaded output-plugin for snort

Folgende Pakete (inkl. eventueller Abhängigkeiten) müssen installiert sein:

Linux / BSD / MacOSX / libpcap libpcre libmysqlclient oder libpg MySQL 5.x or PostgreSQL 8.x Web Server: PHP 5 with db modules enabled --> Note: This can actually be the same machine, or three different machines.

# go to some convenient directory
 $ cd /tmp

# get the sources
 $ firefox http://weasel.sf.net/
# copy the url of a weasel-0.0.4.tar.gz on a nearby sf.net mirror
# then download
 $ wget http://.../.../weasel-0.0.4.tar.gz
# untar sources
 $ tar -xzvf weasel-0.0.4.tar.gz

Datenbank

# create new db 
# create new db and user
# note: choose a more secure dbpassword and/or a better username
# note: if you have snort-center, use their db instead and skip this step!
 $ mysql -u root -p
 mysql> CREATE DATABASE weaseldb;
 Query OK, 1 row affected (0.00 sec)
 mysql> GRANT ALL ON weaseldb.* TO weasel@localhost identified by 'dbpassword';
 mysql> quit
 
# import the schema
 $ mysql weaseldb -u root -p < weasel-0.0.4/db-schema/mysql.sql
 
# import the extra data
 $ mysql weaseldb -u root -p < weasel-0.0.4/db-schema/inserts.sql

Die Datenbank habe ich über den phpMyAdmin importiert:

• http://localhost/phpMyAdmin/

The Webbased GUI part

Den grafischen Weg: In das Verzeichnis:

/srv/www/htdocs/

gehen. Rechtsklick "Neu erstelen" --> Ordner

Diesen dann weasel nennen.

Im Konqueror das Fenster in linke und rechte Hälfte teilen. links in den Ordner gehen, wo das aus dem entpackten gz.file liegt. Dann in den Unterordner gui gehen, und den Inhalt in das rechte Fenster in den neu erzeugten Ordner

/srv/www/htdocs/

legen. In diesem Ordner ein Rechtsklick auf config_inc.php und auf öffnen mit mit Kate antworten.

Über die Konsole: Bei SUSE Linux/openSUSE

mkdir /srv/www/htdocs/weasel

Dort dann den Inhalt aus gui hinkopieren

cp -r weasel-0.0.4/gui/* /srv/www/htdocs/weasel

# configure gui
 $ vi /path/to/document_root/weasel/config_inc.php

In der Datei folgende Daten eingeben/ändern: Es muss eigentlich nur das Passwort geändert werden:

$dbpasswd = 'Dein Passwort';   

und wenn eine Anbindung an Snort-Center erwünscht wird:

weasel['useSC'] = true;

über * http://localhost/weasel/ kann sich der User jetzt einloggen:

Login: admin
Pass:  s3cr3t

Dies ist die Defaulteinstellung,über Administration Section, List Users sollten diese geändert werden.

Snort und Snort-plugin

• libpcap
• libpcre http://www.pcre.org/ muss kompiliert werden
• libmysqlclient (eventuell heißt dies unter SUSE anders)

./configure --enable-pthread --with-mysql=/usr

Dann:

make

anschließend:

make install

Hinweis:

Wenn Snort bisher nicht auf dem PC installiert war, sind die snort rules runterzuladen und dann zu installieren. http://www.snort.org/pub-bin/downloads.cgi#COMM

Snort Rules Installation

• http://www.snort.org/docs/snort_htmanuals/htmanual_260/node15.html

Anbindung

output weasel: mysql host=dbhost dbname=weaseldb user=weasel password=...

Quellen und weiterführende Links

• http://weasel.sourceforge.net/
• livedemo