Skonfiguruj identyfikatory snortu i tworz reguły
Snort to system wykrywania włamań (IDS) do monitorowania sieci. Czytając ten samouczek, nauczysz się instalować Snort zarówno na Debian, jak i Centos oraz skonfigurować niestandardową konfigurację i reguły Snort.
Ten dokument zawiera realne wykrywanie ataku scenariusza.
Wszystkie wyjaśnienia w tym samouczku zawierają prawdziwy scenariusz przykładowe zrzuty ekranu, ułatwiając każdemu użytkownikowi Linux zrozumienie, jak prysznic działa niezależnie od jego poziomu wiedzy specjalistycznej.
Instalowanie Snort (Debian)
W tej sekcji najpierw wyjaśnia, jak zainstalować Snort w systemach opartych na debian; Po instrukcjach instalacji Debiana znajdziesz kroki do zainstalowania go w centos.
Przed zainstalowaniem Snort w dystrybucjach Linux opartych na Debian zaktualizuj repozytoria systemowe, uruchamiając następujące polecenie:
Sudo apt-get Aktualizacja
Po zaktualizowaniu repozytoriów zainstaluj Snort za pomocą następującego polecenia:
sudo apt instinst instaluj prycie -y
Proces instalacji poinformuje Cię, że składnia do definiowania adresów sieciowych w pliku konfiguracyjnym to CIDR (routing bezdomenowy bez klasy). Naciskać WCHODZIĆ kontynuować instalację.
Instalator automatycznie wykryje twoją strukturę sieciową. W tym etapie sprawdź, czy wykrywanie jest poprawne i napraw go w razie potrzeby. Następnie naciśnij WCHODZIĆ.
Po naciskowaniu WCHODZIĆ, Instalacja zakończy.
Instalowanie prychania (centos)
Aby zainstalować Snort na CentoS, pobierz ostatnią warczenie RPM Pakiet dla centu na https: // www.parsknięcie.org/pobieranie#snornloads.
Następnie uruchom następujące polecenie, gdzie <Wersja> Musi zostać zastąpiona wersją Snort Pobierz z poprzedniego linku:
Sudo Yum Snort-.RPM
Ważne dla użytkowników Debiana
Debian Linux zastępuje niektóre opcje związane z ustawieniami sieciowymi w domyślnym plik konfiguracji prycie. Opcje przepisywania są pobierane z systemu operacyjnego. W ustawieniach katalogu pryszczy /etc/parsknięcie/prychnięcie.Debian.conf Plik, w którym debian są importowane.
Dlatego jeśli najpierw użyjesz Debiana, otwórz /etc/parsknięcie/prychnięcie.Debian.conf plik do sprawdzenia pliku konfiguracyjnego i edytuj go w razie potrzeby, używając następującego polecenia:
sudo nano/itp.Debian.conf
Jak widać, w moim przypadku domyślna konfiguracja pobierana z systemu operacyjnego jest prawidłowa.
Notatka: Jeśli ustawienia sieciowe są nieprawidłowe w twoim przypadku, uruchom sudo dpkg-reconfigure parszenie
Jeśli twoje ustawienia są prawidłowe, naciśnij Ctrl+Q do wyjścia.
Konfigurowanie prycha
W tej sekcji zawiera instrukcje dotyczące początkowej konfiguracji parnaczu.
Aby skonfigurować prychnięcie, otwórz /etc/parsknięcie/prychnięcie.conf za pomocą nano, vi lub dowolnego edytora tekstu.
sudo nano/itp.conf
W pliku konfiguracyjnym znajdź następujący wiersz:
IPVAR home_net dowolne
Możesz dodać swoją sieć lub określone adresy IP. Aby dodać do sieci, wymień linię na następujące, gdzie x.X.X.x/x należy zastąpić adresem CIDR:
IPVAR home_net x.X.X.x/x
W moim przypadku wymieniam tę linię następującymi:
IPVAR HOME_NET 192.168.0.0/16
Ale jeśli chcesz dodać określone adresy IP, składnia jest pokazana poniżej, gdzie 192.168.0.3, 10.0.0.4 i 192.168.1.3 należy zastąpić adresami IP, które mają być monitorowane przez prychnięcie. Wpisz wszystkie adresy IP oddzielone przecinkiem między nawiasami kwadratowymi.
IPVAR HOME_NET [192.168.0.3, 10.0.0.4, 192.168.1.3]
Zostaw linię IPVAR zewnętrznego_net dowolne jako domyślne; Poniżej możesz zobaczyć moją konfigurację:
Jeśli zejdziesz na dół, zobaczysz opcje monitorowania określonych usług i odbijania swoich usług włączonych.
Po zakończeniu edycji pliku zamknij go, aby zapisać zmiany. Jeśli nie masz otwartych usług, po prostu zamknij zapisywanie zmian.
Testowanie konfiguracji prycie z prawdziwymi atakami
Teraz przetestujmy prycie, uruchamiając polecenie pokazane poniżej. Zastąp adres IP lub sieć na swoją.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -A konsola -c/etc/parsk.conf
Gdzie wcześniej wykonane flagi poleceń oznaczają:
-d = mówi Snort, aby pokazał dane
-L = określa katalog logów
-h = Określa sieć do monitorowania
-A = instruuje prychnięcie, aby wydrukować powiadomienia w konsoli
-c = Określa parskawkę
Aby przetestować prychnięcie, podczas gdy działa, uruchom agresywny skanowanie odcisków palców (XMAS) z innego komputera za pomocą NMAP, jak pokazano poniżej:
sudo nmap -v -st -o 192.168.0.103
Jak widać na poniższym zrzucie ekranu, Snort wykrywa próbę odcisku palca:
Teraz uruchommy DDOS Atak za pomocą NPING3 z innego komputera.
HPING3 -C 10000 -D 120 -S -W 64 -p 21 -Flood -Rand -Source 10.0.0.3
Jak widać poniżej, Snort wykrywa złośliwy ruch:
Teraz, gdy widzimy, jak działa Snort, stwórzmy niestandardowe zasady.
Pierwsze kroki z zasadami partania
Swota domyślna dostępna reguły są przechowywane w /itp./Snort/Reguls informator. Aby zobaczyć, jakie zasady są włączone lub skomentowane, musisz przeczytać /etc/parsknięcie/prychnięcie.conf Plik, który wcześniej edytowaliśmy.
Uruchom następujące polecenie i przewiń w dół, aby zobaczyć wyłączone i włączone reguły. Niektóre zasady są wyłączone dla użytkowników Debiana, ponieważ nie są one dostępne w zasadach giełdowych.
mniej/etc/parsk.conf
Jak wspomniano wcześniej, pliki reguł są przechowywane w /itp./Snort/Reguls informator.
Sprawdźmy zasady wykrycia i zgłoszenia ruchu Backdoors.
sudo mniej/etc/snort/zasady/backdoor.zasady
Jak widać, istnieje kilka zasad zapobiegających atakom tylnym. Co zaskakujące, istnieje zasada do wykrycia i zgłoszenia Netbus, Koń trojański, który stał się popularny dziesięcioleci temu. Wyjaśnijmy, jak działa ta reguła.
alert tcp $ home_net 12345: 12346 -> $ external_net any (msg: „backdoor netbus
Active "; Flow: From_Server, ustanowiony; content:" netbus "; reference: arachnid
s, 401; ClasStype: Misce-Activity; SID: 109; Rev: 5;)
Alert tcp $ external_net any -> $ home_net 12345: 12346 (msg: „backdoor netbus getInfo”; flow: to_server, ustalona; content: „getInfo | 0d | 110; Rev: 4;)
Gdzie:
-> = Określa kierunek ruchu, w tym przypadku z naszej chronionej sieci do zewnętrznej
treść = Poszukaj określonych treści w pakiecie. Może zawierać tekst, jeśli między znakami cytatowymi („”) lub danymi binarnymi, jeśli pomiędzy (|. |).
głębokość = Intensywna analiza; W powyższej regule widzimy dwa różne parametry dla dwóch różnych treści.
przesunięcie = Instruuje prychnięcie początkowego bajtu każdego pakietu, aby rozpocząć wyszukiwanie treści.
clasStype = Donosi, o czym chronić się ataku.
SID: 115 = Identyfikator reguły.
Jak stworzyć własną regułę prychania
Teraz utworzymy nową zasadę, aby powiadomić o przychodzących połączeniach SSH.
Utwórz A/ETC/Snort/Reguls/YourRule.Plik reguł za pomocą edytora tekstu. Możesz nazwać plik, jak chcesz. To jest arbitralne, więc szanuj ścieżkę.
sudo nano/etc/snort/reguły/yourrule.zasady
Wklej następującą zasadę w pliku. Jak widać, reguła powiadomi o tym, kiedy urządzenie próbuje połączyć się za pośrednictwem SSH.
alert tcp $ external_net dowolne -> $ home_net 22 (msg: „ssh incoming”; flow: bezpaństwowy; flagi: s+; sid: 100006927; rev: 1;)
Zamknij i zapisz plik.
Teraz dodaj regułę do pliku konfiguracyjnego prycie i uruchom następujące polecenie:
sudo nano/itp.conf
Przewiń w dół, aw sekcji reguły dodaj następujący wiersz, w którym „YourRule.reguły ”należy zastąpić niestandardową nazwą reguł.
Dołącz $ reguła_path/yourrule.zasady
Zamknij edytor tekstu; Zatem oszczędzanie zmian.
Teraz uruchom Snort, uruchamiając następujące polecenie, tak jak wcześniej; Jeśli było już otwarte, to jest w porządku:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -A konsola -c/etc/parsknięcie/prychnięcie.conf
Postaram się podłączyć z innego komputera za pomocą SSH.
SSH 192.168.0.103
Jak widać na poniższym obrazie, reguła, którą stworzyliśmy, podaje próbę połączenia.
To wszystko dla tego samouczka. Jeśli chcesz dowiedzieć się więcej o niestandardowych alertach, polecam ten samouczek https: // linuxhint.com/ snort_alerts/ kontynuować czytanie o ostrzeżeniach prycie.
Wniosek
Jak widać, konfigurowanie i tworzenie reguł parskania jest proste. Każdy użytkownik Linux może to zrobić, rozumiejąc wcześniej wyjaśnioną treść. Ważne jest, aby pamiętać o ekskluzywnych aspektach konfiguracji dla wcześniej wyjaśnionych użytkowników Debiana. Istnieje kilka alternatywnych alternatyw, które możesz spróbować, takie jak Ossec, ale Snort pozostaje najbardziej popularny dla użytkowników Linuksa. Ważne jest również, aby Snort działał dla wszystkich systemów operacyjnych w sieci.
Dziękujemy za przeczytanie tego artykułu, wyjaśniając, jak skonfigurować identyfikatory Snort i jak tworzyć reguły. Śledź śledź Linuxhint, aby uzyskać bardziej profesjonalne samouczki Linux.