W tym artykule wyjaśniono, jak zainstalować Snort i jak zacząć od ostrzeżeń i reguł, aby skutecznie wdrożyć system wykrywania włamania.
Snort to system wykrywania włamań, który analizuje ruch i pakiety w celu wykrywania anomalii, takich jak złośliwy ruch i zgłaszają je. Jeśli nie znasz systemów wykrywania włamań, możesz zacząć czytać na nich ostateczne wnioski. Jeśli chcesz przejść prosto do praktycznych instrukcji, czytaj dalej.
Po przeczytaniu tego artykułu będziesz mógł zainstalować Snort w dystrybucjach Linux opartych na Debian i Redhat, ustawić różne tryby prychania, zdefiniuj powiadomienia i reguły. Instrukcje użycia prysznic w tym samouczku są ważne dla wszystkich dystrybucji Linux.
Wszystkie instrukcje w tym dokumencie zawierają zrzuty ekranu, aby ułatwić wszystkim użytkownikom Linux do zrozumienia i zastosowania.
Instalowanie prycie
Możesz zainstalować parskawkę za pomocą trafny Menedżer pakietów w Debian lub Ubuntu, jak pokazano na poniższym zrzucie ekranu:
sudo apt instal instaluj parszenie
Podczas procesu instalacji zostaniesz poproszony o zdefiniowanie swojej sieci. Naciskać OK kontynuować następny krok.
Teraz wpisz swój adres sieciowy w formacie CIDR. Zwykle Snort Auto wykrywa to pomyślnie.
Następnie naciśnij OK Lub WCHODZIĆ. Nie martw się o ten krok; Ta konfiguracja można edytować później.
Użytkownicy dystrybucji Linux opartych na Red Hat mogą pobrać pakiet Snort z https: // www.parsknięcie.org/pobieranie#snort-downloads, a następnie zainstaluj je, uruchamiając następujące polecenie, gdzie <Wersja> Musi zostać zastąpiona bieżącą pobraną wersją.
Sudo Yum Snort-<Wersja>.RPM
Aktualizowanie reguł prychania
Snort zawiera dwa główne rodzaje zasad: zasady społeczności opracowane przez społeczność Snort i oficjalne zasady. Zawsze możesz domyślnie zaktualizować zasady społeczności. Ale aby zaktualizować oficjalne zasady, potrzebujesz kodu Oink - kodu, który pozwala pobrać najnowsze zasady.
Aby uzyskać kod Oink, zarejestruj się na stronie https: // www.parsknięcie.org/Users/sign_up.
Po zarejestrowaniu potwierdź konto z e -maila i zaloguj się do witryny prychania.
W menu po lewej stronie deski rozdzielczej naciśnij OinkCode, a zobaczysz swój kod.
https: // www.parsknięcie.org/reguły/snoRtrules-snapshot-.smoła.GZ?oinkCode =
W moim przypadku użyłem prycie 2.9.15.1 i następujący link do pobrania zasad:
https: // www.parsknięcie.org/reguły/snoRtrules-snapshot-29151.smoła.GZ?oinkCode =15E4F48AAB11B956BB27801172720F2BE9F3686D
Możesz utworzyć skrypt cron, aby pobrać i wyodrębnić reguły do właściwego katalogu.
Konfigurowanie prycha
Plik konfiguracyjny parskawki to/etc/snort/snort.conf. Przed rozpoczęciem rozpoczęcia użytkownicy Debian muszą wykonać kroki wspomniane w następujących. Inni użytkownicy dystrybucji mogą kontynuować czytanie z/etc/snort/parnant.CONF PLIK EDITION.
Uwaga dla użytkowników Debiana: Debian Linux zastępuje niektóre ustawienia sieciowe w plik konfiguracji domyślnej prycie. W katalogu /etc /snort jest /etc/parsknięcie/prychnięcie.Debian.conf plik, w którym importowane są ustawienia sieci Debian.
Jeśli jesteś użytkownikiem Debiana, uruchom następujący kod:
sudo nano/itp.Debian.conf
Sprawdź, czy wszystkie informacje w tym pliku konfiguracyjnym są prawidłowe, w tym adres CIDR, urządzenie sieciowe itp.
Zapisz plik. Zacznijmy konfigurować prycie.
Aby skonfigurować prycie, użyj dowolnego edytora tekstu, jak pokazano następująco (użyłem nano), aby otworzyć /etc/parsknięcie/prychnięcie.conf plik.
sudo nano/itp.conf
Sprawdź konfigurację sieci i przewiń w dół.
Zdefiniuj porty, które chcesz monitorować.
Nie zamykaj pliku i nie odczytuj następnej sekcji (zachowaj plik konfiguracyjny Otwórz).
Swota
Reguły Snort są włączone lub wyłączone, komentując lub odczuwając wiersze w/etc/snort/snort.plik CONF. Ale zasady są przechowywane w /itp./Snort/Reguls plik.
Aby włączyć lub wyłączyć zasady, otwórz /etc/parsknięcie/prychnięcie.conf z edytorem tekstu. Zasady znajdują się na końcu pliku.
Po osiągnięciu końca pliku zobaczysz listę reguł do różnych celów. Odkształcić zasady, które chcesz włączyć i komentować zasady, które chcesz wyłączyć.
Na przykład, aby wykryć ruch związany z atakami DOS, odkształcić zasadę DOS. Lub odkształcenie zasady FTP w celu monitorowania portów 21.
sudo nano/itp.conf
Po odstąpieniu zasad, włącz, zapisać i wyjść z dokumentu.
7 trybów ostrzeżeń prychających
Swort zawiera 7 różnych trybów alertów, które należy powiadomić o zdarzeniach lub incydentach. 7 trybów to:
Aby zakończyć ten artykuł, wypróbujmy tryb pełny, uruchamiając następujące polecenie, gdzie -Post wskazuje skanowanie trybu szybkiego i -C Określa plik konfiguracyjny (/etc/snort/snort.conf).
sudo snort -a szybki -c/etc/parsk.conf
Teraz uruchom skanowanie NMAP lub spróbuj podłączyć SSH lub FTP do komputera i przeczytaj /var/log/snort/parknięcie.alarm.Szybkie ostatnie linie, aby sprawdzić, w jaki sposób zgłaszany jest ruch. Jak widać, wprowadziłem agresywny skan NMAP i został wykryty jako złośliwy ruch.
ogon/var/log/snort/prych.alarm.szybko
Mam nadzieję, że ten samouczek służy jako dobre wprowadzenie do prychania. Ale musisz się tego uczyć, czytając ostrzeżenia o prychaniu i samouczki tworzenia serw.
O systemach wykrywania włamań
Ogólna myśl jest taka, że jeśli zapora chroni sieć, sieć jest uważana za bezpieczną. Nie jest to jednak do końca prawda. Zapory ogniowe są podstawowym elementem sieci, ale nie mogą w pełni chronić sieci przed wymuszonymi wpisami lub wrogim intencją. Systemy wykrywania włamań są używane do oceny agresywnych lub nieoczekiwanych pakietów i generowania ostrzeżenia, zanim programy te będą mogły zaszkodzić sieci. System wykrywania włamań oparty na hostie działa na wszystkich urządzeniach w sieci lub łączy się z siecią wewnętrzną organizacji. Zamiast tego oparty na sieci system wykrywania włamań jest wdrażany w określonym punkcie lub grupie punktów, z których można monitorować cały ruch i wychodzący. Zaletą systemu wykrywania włamań opartych na hosta jest to, że może on również wykrywać anomalie lub złośliwy ruch generowany z samego hosta, tak jak na hosta na złośliwe oprogramowanie itp. Systemy wykrywania włamań (IDS) Praca poprzez monitorowanie i analizę ruchu sieciowego i porównuje go z ustalonym zestawem reguł, aby ustalić, co należy przyjmować jako normalne dla sieci (dla portów, przepustowości itp.) i na co przyjrzeć się bliżej.
System wykrywania włamań może być wdrażany w zależności od wielkości sieci. Istnieje dziesiątki wysokiej jakości komercyjnych identyfikatorów, ale wiele firm i małych firm nie może sobie na nie pozwolić. Snort jest elastycznym, lekkim i popularnym systemem wykrywania włamań, który można wdrożyć zgodnie z potrzebami sieci, od małych do dużych sieci, i zapewnia wszystkie funkcje płatnych identyfikatorów. Snort nie kosztuje niczego, ale nie oznacza to, że nie może zapewnić takich samych funkcji jak elitarne, komercyjne identyfikatory. Swort jest uważany za pasywne identyfikatory, co oznacza, że wącha pakiety sieciowe, porównuje z zestawem reguł, a w przypadku wykrywania złośliwego dziennika lub wejścia (wykrywanie wtargnięcia) generuje ostrzeżenie lub umieszcza wpis w dzienniku plik. Swort służy do monitorowania operacji i działań routerów, zaporowych i serwerów. Snort zapewnia przyjazny dla użytkownika interfejs zawierający łańcuch reguł, który może być bardzo pomocny dla osoby, która nie zna IDS. Snort generuje alarm w przypadku wtargnięcia (ataki przepełnienia bufora, zatrucie DNS, odciski palców OS, skanowanie portów i wiele innych), zapewniając organizacji większą widoczność ruchu sieciowego i ułatwiając spełnienie przepisów dotyczących bezpieczeństwa.
Teraz zapoznałeś się z IDS. Teraz zacznijmy konfigurować prycie.
Wniosek
Systemy wykrywania włamań, takie jak Snort, są używane do monitorowania ruchu sieciowego w celu wykrycia, gdy atak jest przeprowadzany przez złośliwego użytkownika, zanim będzie mógł zranić lub wpłynąć na sieć. Jeśli atakujący wykonuje skanowanie portów w sieci, atak można wykryć wraz z liczbą podejmowanych prób, adres IP atakującego i inne szczegóły. Swort służy do wykrywania wszystkich rodzajów anomalii. Jest wyposażony w dużą liczbę skonfigurowanych reguł, wraz z opcją dla użytkownika do pisania własnych reguł zgodnie z jego potrzebami. W zależności od wielkości sieci, prychnięcie można łatwo skonfigurować i użyć bez wydawania niczego, w porównaniu z innymi płatnymi systemami wykrywania włamań komercyjnych. Zrejestrowane pakiety można dalej analizować za pomocą sniffer pakietu, takiego jak Wireshark do analizy i rozbicia tego, co dzieje się w umyśle atakującego podczas ataku i rodzajów wykonanych skanów lub poleceń. Snort to bezpłatne, otwarte i łatwe do konfiguracji narzędzie. Może to być świetny wybór, aby chronić dowolną średnią sieć przed atakiem.