Zainstaluj system wykrywania wtargnięcia Snort Ubuntu
Po skonfigurowaniu dowolnego serwera wśród pierwszych zwykłych kroków połączonych z bezpieczeństwem są zapora ogniowa, aktualizacje i aktualizacje, klawisze SSH, urządzenia sprzętowe. Ale większość sysadminów nie skanuje własnych serwerów, aby odkryć słabe punkty, jak wyjaśniono openvas lub nessus, ani nie konfigurują honeypots lub system wykrywania wtargnięcia (IDS), który wyjaśniono poniżej.
Istnieje kilka identyfikatorów na rynku, a najlepsze są bezpłatne, Snort jest najpopularniejszy, znam tylko Snort i Ossec i wolę Ossec niż prych. Dodatkowe opcje to: suricata, brat identy.
Najbardziej oficjalne badania dotyczące skuteczności IDS są dość stare, z 1998 r., W tym samym roku, w którym początkowo opracowano Snort i przeprowadzono przez DARPA, stwierdzono, że takie systemy były bezużyteczne przed nowoczesnymi atakami. Po 2 dziesięcioleciach ewoluowało w progresji geometrycznej, bezpieczeństwo też i wszystko jest prawie aktualne, przyjęcie identyfikatorów jest pomocne dla każdego sysadminu.
Pwarki identyczne
Snort Ids działają w 3 różnych trybach, jako sniffer, jako system rejestrowania pakietów i system wykrywania włamań sieciowych. Ostatni jest najbardziej wszechstronny, dla którego ten artykuł jest skupiony.
Instalowanie prycie
apt-get instaluj libpcap-dev żubra flex
Następnie biegamy:
apt-get instal instaluj parszenie
W moim przypadku oprogramowanie jest już zainstalowane, ale nie było domyślnie, tak zostało zainstalowane na Kali (Debian).
Pierwsze kroki z trybem sniffera Snorta
Tryb sniffer odczytuje ruch sieci i wyświetla tłumaczenie dla ludzkiego przeglądarki.
Aby to przetestować, typ:
# Snort -V
Ta opcja nie powinna być używana normalnie, wyświetlanie ruchu wymaga zbyt dużej ilości zasobów i jest stosowana tylko po to, aby pokazać wyjście polecenia.
W terminalu widzimy nagłówki ruchu wykryte przez prychnięcie między komputerem, routerem i Internetem. Snort donosi również o braku zasad reagowania na wykryty ruch.
Jeśli chcemy, aby Snort pokazał, że dane również są typem:
# Snort -vd
Aby pokazać nagłówki warstwy 2:
# snort -v -d -e
Podobnie jak parametr „V”, „E” reprezentuje również stratę zasobów, należy unikać jego użycia w celu produkcji.
Pierwsze kroki z trybem rejestrowania pakietów Snorta
Aby zapisać raporty Snorta, musimy określić, aby parsknąć katalog dziennika, jeśli chcemy, aby Snort pokazał tylko nagłówki i zarejestrować ruch na typie dysku:
# mkdir Snortlogs
# Snort -d -l Snortlogs
Dziennik zostanie zapisany w katalogu Snortlogs.
Jeśli chcesz odczytać typ dziennika typu:
# snort -d -v -r logfileName.dziennik.xxxxxxx
Pierwsze kroki z trybem systemu detekcji wtargnięcia sieci Snort (NIDS)
Z następującym poleceniem pryszczy reguły określone w pliku/etc/snort/snort.conn, aby prawidłowo filtrować ruch, unikając odczytu całego ruchu i koncentrując się na określonych incydentach
odsyłane w prysku.Conf poprzez konfigurowalne zasady.
Parametr „-a konsola” instruuje parskanie, aby ostrzegać w terminalu.
# Snort -d -l Snortlog -h 10.0.0.0/24 -A Console -c Srort.conf
Dziękujemy za przeczytanie tego tekstu wprowadzającego do użycia Snorta.