Wykrywanie wtargnięcia z prychnięciem

Pani Julia Szwed
Wykrywanie wtargnięcia z prychnięciem

W tym artykule wyjaśniono, jak zainstalować Snort i jak zacząć od ostrzeżeń i reguł, aby skutecznie wdrożyć system wykrywania włamania.

Snort to system wykrywania włamań, który analizuje ruch i pakiety w celu wykrywania anomalii, takich jak złośliwy ruch i zgłaszają je. Jeśli nie znasz systemów wykrywania włamań, możesz zacząć czytać na nich ostateczne wnioski. Jeśli chcesz przejść prosto do praktycznych instrukcji, czytaj dalej.

Po przeczytaniu tego artykułu będziesz mógł zainstalować Snort w dystrybucjach Linux opartych na Debian i Redhat, ustawić różne tryby prychania, zdefiniuj powiadomienia i reguły. Instrukcje użycia prysznic w tym samouczku są ważne dla wszystkich dystrybucji Linux.

Wszystkie instrukcje w tym dokumencie zawierają zrzuty ekranu, aby ułatwić wszystkim użytkownikom Linux do zrozumienia i zastosowania.

Instalowanie prycie

Możesz zainstalować parskawkę za pomocą trafny Menedżer pakietów w Debian lub Ubuntu, jak pokazano na poniższym zrzucie ekranu:

sudo apt instal instaluj parszenie

Podczas procesu instalacji zostaniesz poproszony o zdefiniowanie swojej sieci. Naciskać OK kontynuować następny krok.

Teraz wpisz swój adres sieciowy w formacie CIDR. Zwykle Snort Auto wykrywa to pomyślnie.

Następnie naciśnij OK Lub WCHODZIĆ. Nie martw się o ten krok; Ta konfiguracja można edytować później.

Użytkownicy dystrybucji Linux opartych na Red Hat mogą pobrać pakiet Snort z https: // www.parsknięcie.org/pobieranie#snort-downloads, a następnie zainstaluj je, uruchamiając następujące polecenie, gdzie <Wersja> Musi zostać zastąpiona bieżącą pobraną wersją.

Sudo Yum Snort-<Wersja>.RPM

Aktualizowanie reguł prychania

Snort zawiera dwa główne rodzaje zasad: zasady społeczności opracowane przez społeczność Snort i oficjalne zasady. Zawsze możesz domyślnie zaktualizować zasady społeczności. Ale aby zaktualizować oficjalne zasady, potrzebujesz kodu Oink - kodu, który pozwala pobrać najnowsze zasady.

Aby uzyskać kod Oink, zarejestruj się na stronie https: // www.parsknięcie.org/Users/sign_up.

Po zarejestrowaniu potwierdź konto z e -maila i zaloguj się do witryny prychania.

W menu po lewej stronie deski rozdzielczej naciśnij OinkCode, a zobaczysz swój kod.

https: // www.parsknięcie.org/reguły/snoRtrules-snapshot-.smoła.GZ?oinkCode =

W moim przypadku użyłem prycie 2.9.15.1 i następujący link do pobrania zasad:

https: // www.parsknięcie.org/reguły/snoRtrules-snapshot-29151.smoła.GZ?oinkCode =15E4F48AAB11B956BB27801172720F2BE9F3686D

Możesz utworzyć skrypt cron, aby pobrać i wyodrębnić reguły do ​​właściwego katalogu.

Konfigurowanie prycha

Plik konfiguracyjny parskawki to/etc/snort/snort.conf. Przed rozpoczęciem rozpoczęcia użytkownicy Debian muszą wykonać kroki wspomniane w następujących. Inni użytkownicy dystrybucji mogą kontynuować czytanie z/etc/snort/parnant.CONF PLIK EDITION.

Uwaga dla użytkowników Debiana: Debian Linux zastępuje niektóre ustawienia sieciowe w plik konfiguracji domyślnej prycie. W katalogu /etc /snort jest /etc/parsknięcie/prychnięcie.Debian.conf plik, w którym importowane są ustawienia sieci Debian.

Jeśli jesteś użytkownikiem Debiana, uruchom następujący kod:

sudo nano/itp.Debian.conf

Sprawdź, czy wszystkie informacje w tym pliku konfiguracyjnym są prawidłowe, w tym adres CIDR, urządzenie sieciowe itp.

Zapisz plik. Zacznijmy konfigurować prycie.

Aby skonfigurować prycie, użyj dowolnego edytora tekstu, jak pokazano następująco (użyłem nano), aby otworzyć /etc/parsknięcie/prychnięcie.conf plik.

sudo nano/itp.conf

Sprawdź konfigurację sieci i przewiń w dół.

Zdefiniuj porty, które chcesz monitorować.

Nie zamykaj pliku i nie odczytuj następnej sekcji (zachowaj plik konfiguracyjny Otwórz).

Swota

Reguły Snort są włączone lub wyłączone, komentując lub odczuwając wiersze w/etc/snort/snort.plik CONF. Ale zasady są przechowywane w /itp./Snort/Reguls plik.

Aby włączyć lub wyłączyć zasady, otwórz /etc/parsknięcie/prychnięcie.conf z edytorem tekstu. Zasady znajdują się na końcu pliku.

Po osiągnięciu końca pliku zobaczysz listę reguł do różnych celów. Odkształcić zasady, które chcesz włączyć i komentować zasady, które chcesz wyłączyć.

Na przykład, aby wykryć ruch związany z atakami DOS, odkształcić zasadę DOS. Lub odkształcenie zasady FTP w celu monitorowania portów 21.

sudo nano/itp.conf

Po odstąpieniu zasad, włącz, zapisać i wyjść z dokumentu.

7 trybów ostrzeżeń prychających

Swort zawiera 7 różnych trybów alertów, które należy powiadomić o zdarzeniach lub incydentach. 7 trybów to:

  • Szybko: Wstarzałe ostrzeżenia zawierają znacznik czasu, wysyłanie komunikatu o alercie, wyświetlanie źródłowych i docelowych adresów IP i portów. Aby zaimplementować ten tryb, użyj -Post
  • Pełny: Dodatkowo, w wcześniej zgłoszonych informacji w trybie szybkim, tryb pełny drukuje również TTL, długość datagrama i nagłówki pakietów, rozmiar okna, ACK i numer sekwencji. Aby zaimplementować ten tryb, użyj -Pełna
  • Konsola: Pokazuje powiadomienia w czasie rzeczywistym w konsoli. Ten tryb jest włączony z -Konsola
  • CMG: Ten tryb jest przydatny tylko do celów testowych.
  • Unsock: Służy do eksportowania powiadomień do gniazda Unix.
  • Syslog: Ten tryb (protokół rejestrowania systemu) instruuje Snort, aby wysłać rejestr zdalnych alertów. Aby uruchomić ten tryb, dodaj -S
  • Nic: Brak alarmów.

Aby zakończyć ten artykuł, wypróbujmy tryb pełny, uruchamiając następujące polecenie, gdzie -Post wskazuje skanowanie trybu szybkiego i -C Określa plik konfiguracyjny (/etc/snort/snort.conf).

sudo snort -a szybki -c/etc/parsk.conf

Teraz uruchom skanowanie NMAP lub spróbuj podłączyć SSH lub FTP do komputera i przeczytaj /var/log/snort/parknięcie.alarm.Szybkie ostatnie linie, aby sprawdzić, w jaki sposób zgłaszany jest ruch. Jak widać, wprowadziłem agresywny skan NMAP i został wykryty jako złośliwy ruch.

ogon/var/log/snort/prych.alarm.szybko

Mam nadzieję, że ten samouczek służy jako dobre wprowadzenie do prychania. Ale musisz się tego uczyć, czytając ostrzeżenia o prychaniu i samouczki tworzenia serw.

O systemach wykrywania włamań

Ogólna myśl jest taka, że ​​jeśli zapora chroni sieć, sieć jest uważana za bezpieczną. Nie jest to jednak do końca prawda. Zapory ogniowe są podstawowym elementem sieci, ale nie mogą w pełni chronić sieci przed wymuszonymi wpisami lub wrogim intencją. Systemy wykrywania włamań są używane do oceny agresywnych lub nieoczekiwanych pakietów i generowania ostrzeżenia, zanim programy te będą mogły zaszkodzić sieci. System wykrywania włamań oparty na hostie działa na wszystkich urządzeniach w sieci lub łączy się z siecią wewnętrzną organizacji. Zamiast tego oparty na sieci system wykrywania włamań jest wdrażany w określonym punkcie lub grupie punktów, z których można monitorować cały ruch i wychodzący. Zaletą systemu wykrywania włamań opartych na hosta jest to, że może on również wykrywać anomalie lub złośliwy ruch generowany z samego hosta, tak jak na hosta na złośliwe oprogramowanie itp. Systemy wykrywania włamań (IDS) Praca poprzez monitorowanie i analizę ruchu sieciowego i porównuje go z ustalonym zestawem reguł, aby ustalić, co należy przyjmować jako normalne dla sieci (dla portów, przepustowości itp.) i na co przyjrzeć się bliżej.

System wykrywania włamań może być wdrażany w zależności od wielkości sieci. Istnieje dziesiątki wysokiej jakości komercyjnych identyfikatorów, ale wiele firm i małych firm nie może sobie na nie pozwolić. Snort jest elastycznym, lekkim i popularnym systemem wykrywania włamań, który można wdrożyć zgodnie z potrzebami sieci, od małych do dużych sieci, i zapewnia wszystkie funkcje płatnych identyfikatorów. Snort nie kosztuje niczego, ale nie oznacza to, że nie może zapewnić takich samych funkcji jak elitarne, komercyjne identyfikatory. Swort jest uważany za pasywne identyfikatory, co oznacza, że ​​wącha pakiety sieciowe, porównuje z zestawem reguł, a w przypadku wykrywania złośliwego dziennika lub wejścia (wykrywanie wtargnięcia) generuje ostrzeżenie lub umieszcza wpis w dzienniku plik. Swort służy do monitorowania operacji i działań routerów, zaporowych i serwerów. Snort zapewnia przyjazny dla użytkownika interfejs zawierający łańcuch reguł, który może być bardzo pomocny dla osoby, która nie zna IDS. Snort generuje alarm w przypadku wtargnięcia (ataki przepełnienia bufora, zatrucie DNS, odciski palców OS, skanowanie portów i wiele innych), zapewniając organizacji większą widoczność ruchu sieciowego i ułatwiając spełnienie przepisów dotyczących bezpieczeństwa.

Teraz zapoznałeś się z IDS. Teraz zacznijmy konfigurować prycie.

Wniosek

Systemy wykrywania włamań, takie jak Snort, są używane do monitorowania ruchu sieciowego w celu wykrycia, gdy atak jest przeprowadzany przez złośliwego użytkownika, zanim będzie mógł zranić lub wpłynąć na sieć. Jeśli atakujący wykonuje skanowanie portów w sieci, atak można wykryć wraz z liczbą podejmowanych prób, adres IP atakującego i inne szczegóły. Swort służy do wykrywania wszystkich rodzajów anomalii. Jest wyposażony w dużą liczbę skonfigurowanych reguł, wraz z opcją dla użytkownika do pisania własnych reguł zgodnie z jego potrzebami. W zależności od wielkości sieci, prychnięcie można łatwo skonfigurować i użyć bez wydawania niczego, w porównaniu z innymi płatnymi systemami wykrywania włamań komercyjnych. Zrejestrowane pakiety można dalej analizować za pomocą sniffer pakietu, takiego jak Wireshark do analizy i rozbicia tego, co dzieje się w umyśle atakującego podczas ataku i rodzajów wykonanych skanów lub poleceń. Snort to bezpłatne, otwarte i łatwe do konfiguracji narzędzie. Może to być świetny wybór, aby chronić dowolną średnią sieć przed atakiem.

c ostre
Jak używać polimorfizmu w C#
Polimorfizm umożliwia leczenie przedmiotów z różnych klas, tak jak pochodziły z tej samej klasy. Moż...
Bertram Jóźwiak
Programowanie C
Jaka jest różnica między = i == Operatory w programowaniu C?
Operator = jest wykorzystywany do przypisania wartości do zmiennej, podczas gdy operator == porównuj...
Justyna Flak
Git
Jak przepisać najnowszą historię zatwierdzenia w Git?
Aby przepisać historię zatwierdzenia, polecenie „Git Commit” można użyć z opcją „--amend -m” i „”....
Larysa Witczak
Pyton
Python Math Exp
Pani Żaneta Pakuła
PostgreSQL
Jak skopiować tabelę z jednej bazy danych do drugiej w PostgreSQL
Maja Kucharski
R
Jak utworzyć pustą ramkę danych r
Maja Kucharski
php
Jak używać funkcji Array_Reverse w PHP
Renata Borowiec
AWS
Co to jest AWS GuardDuty i dlaczego jest używany?
Sebastian Kaczyński
AWS
Jak korzystać z cyklu życia instancji w AWS?
Maja Kucharski
Jawa
Co to jest konwersja typu w Javie?
Bertram Jóźwiak
c ostre
Jak używany jest operator Lambda '=>'
Justyna Flak
C ++
Jak używać wyrażeń logicznych w C ++
Justyna Flak
php
Jak korzystać z funkcji substr_replace w PHP
Renata Borowiec