Snort е безплатна система за откриване на проникване в мрежа (IDS). С по-малко официални термини, това ви позволява да наблюдавате мрежата си за подозрителна активност в реално време . В момента Snort има пакети за Fedora, CentOS, FreeBSD и Windows-базирани системи. Точният метод на инсталиране варира в различните операционни системи. В този урок ще инсталираме директно от изходните файлове за Snort. Това ръководство е написано за Debian.
Преди да се доберем до източниците на Snort, трябва да се уверим, че нашата система е актуална. Можем да направим това, като издадем командите по-долу.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
След като вашата система се рестартира, трябва да инсталираме редица пакети, за да сме сигурни, че можем да инсталираме SBPP. Успях да разбера, че редица пакети бяха необходими, така че основната команда е по-долу.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
След като всички пакети бъдат инсталирани, ще трябва да създадете временна директория за вашите изходни файлове - те могат да бъдат навсякъде, където пожелаете. ще използвам /usr/src/snort_src. За да създадете тази папка, ще трябва да сте влезли като rootпотребител или да имате sudoразрешения - rootпросто улеснява работата.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Преди да можем да получим източника за Snort, трябва да инсталираме DAQ. Доста лесно се инсталира.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Извлечете файловете от tarball.
tar xvfz daq-2.0.6.tar.gz
Променете в DAQ директорията.
cd daq-2.0.6
Конфигурирайте и инсталирайте DAQ.
./configure; make; sudo make install
Този последен ред ще се изпълни ./configureпърви. След това ще се изпълни make. И накрая, той ще изпълни make install. Тук използваме по-краткия синтаксис, само за да спестим малко от въвеждане.
Искаме да сме сигурни, че отново сме в /usr/src/snort_srcдиректорията, така че не забравяйте да промените в тази директория с:
cd /usr/src/snort_src
Сега, когато сме в директорията за източниците, ще изтеглим tar.gzфайла за източника. Към момента на писане на тази статия най-новата версия на Snort е 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
Командите за действително инсталиране на snort са много подобни на тези, използвани за DAQ, но имат различни опции.
Извлечете изходните файлове на Snort.
tar xvfz snort-2.9.8.0.tar.gz
Променете в изходната директория.
cd snort-2.9.8.0
Конфигурирайте и инсталирайте източниците.
./configure --enable-sourcefire; make; sudo make install
След като инсталираме Snort, трябва да се уверим, че нашите споделени библиотеки са актуални. Можем да направим това с помощта на командата:
sudo ldconfig
След като направим това, тествайте вашата инсталация на Snort:
snort --version
Ако тази команда не работи, ще трябва да създадете символна връзка. Можете да направите това, като напишете:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
Полученият резултат ще прилича на следното:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Сега, когато имаме инсталиран snort, не искаме да работи като root, така че трябва да създадем snortпотребител и група. За да създадем нов потребител и група, можем да използваме тези две команди:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Тъй като сме инсталирали програмата с помощта на източника, трябва да създадем конфигурационните файлове и правилата за snort.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
След като създадем директориите и правилата, сега трябва да създадем директорията на журнала.
sudo mkdir /var/log/snort
И накрая, преди да можем да добавим някакви правила, имаме нужда от място за съхранение на динамичните правила.
sudo mkdir /usr/local/lib/snort_dynamicrules
След като всички предишни файлове бъдат създадени, задайте правилните разрешения за тях.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
За да спестите много време и да не се налага да копирате и поставяте всичко, нека просто копирате всички файлове в конфигурационната директория.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Сега, когато конфигурационните файлове са там, можете да направите едно от двете неща:
Така или иначе, все пак ще искате да промените някои неща. Продължавай да четеш.
Във /etc/snort/snort.confфайла ще трябва да промените променливата HOME_NET. Трябва да бъде настроен на IP блока на вашата вътрешна мрежа, така че да не регистрира опитите на вашата собствена мрежа да влезе в сървъра. Това може да бъде 10.0.0.0/24или 192.168.0.0/16. На ред 45 /etc/snort/snort.confпроменете променливата HOME_NETна тази стойност на IP блока на вашата мрежа.
В моята мрежа изглежда така:
ipvar HOME_NET 192.168.0.0/16
След това ще трябва да зададете EXTERNAL_NETпроменливата на:
any
Което просто се превръща EXERNAL_NETв това, което HOME_NETне си.
Сега, когато по-голямата част от системата е настроена, трябва да конфигурираме нашите правила за това малко прасенце. Някъде около линия 104 във вашия /etc/snort/snort.confфайл, трябва да видите "Var" декларация и променливите RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, и BLACK_LIST_PATH. Техните стойности трябва да бъдат зададени на пътищата, които използвахме в Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
След като тези стойности бъдат зададени, изтрийте или коментирайте текущите правила, започвайки от около ред 548.
Сега нека проверим дали конфигурацията ви е правилна. Можете да го проверите с snort.
# snort -T -c /etc/snort/snort.conf
Ще видите изход, подобен на следния (съкратен за краткост).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Сега, когато всичко е конфигурирано без грешки, ние сме готови да започнем да тестваме Snort.
Най-лесният начин да тествате Snort е като активирате local.rules. Това е файл, който съдържа вашите персонализирани правила.
Ако сте забелязали във snort.confфайла, някъде около ред 546, съществува този ред:
include $RULE_PATH/local.rules
Ако го нямате, моля, добавете го около 546. След това можете да използвате local.rulesфайла за тестване. Като основен тест, просто имам Snort да следи ping заявка (ICMP заявка). Можете да направите това, като добавите следния ред към вашия local.rulesфайл.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
След като го имате във вашия файл, запазете го и продължете да четете.
Следната команда ще стартира Snort и ще отпечата сигнали за "бърз режим", тъй като потребителят изсумти под групата, използвайки config /etc/snort/snort.conf, и ще слуша в мрежовия интерфейс eno1. Ще трябва да преминете eno1към какъвто и мрежов интерфейс да слуша вашата система.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
След като го стартирате, пингувайте този компютър. Ще започнете да виждате изход, който изглежда по следния начин:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
Можете да натиснете Ctrl+C, за да излезете от програмата и това е всичко. Snort е готов. Сега можете да използвате всякакви правила, които желаете.
И накрая, искам да отбележа, че има някои публични правила, създадени от общността, които можете да изтеглите от официалния сайт в раздела „Общност“. Потърсете "Snort", след това точно под това има връзка към общността. Изтеглете го, извлечете го и потърсете community.rulesфайла.
Използване на различна система? Ако закупите сървър на Debian, винаги трябва да имате най-новите корекции за сигурност и актуализации, независимо дали спите или не
Този урок обяснява как да настроите DNS сървър с помощта на Bind9 на Debian или Ubuntu. В цялата статия заменете your-domain-name.com съответно. При th
В тази статия ще видим как да компилирате и инсталирате основната линия на Nginx от официалните източници на Nginx с модула PageSpeed, който ви позволява да
Използване на различна система? Въведение Kanboard е безплатна програма за управление на проекти с отворен код, която е предназначена да улеснява и визуализира
Използване на различна система? Gitea е алтернатива с отворен код, самостоятелно хоствана система за контрол на версиите, задвижвана от Git. Gitea е написана на Голанг и е
Въведение Lynis е безплатен инструмент за одит на системата с отворен код, който се използва от много системни администратори за проверка на целостта и заздравяване на техните системи. аз
Използване на различна система? Thelia е инструмент с отворен код за създаване на уебсайтове за е-бизнес и управление на онлайн съдържание, написано на PHP. Изходен код на Thelia i
Какво ви трябва Vultr VPS с поне 1 GB RAM. SSH достъп (с root/административни привилегии). Стъпка 1: Инсталиране на BungeeCord На първо място
Golang е език за програмиране, разработен от Google. Благодарение на своята гъвкавост, простота и надеждност, Golang се превърна в един от най-популярните
Ако сте забравили вашата MySQL root парола, можете да я нулирате, като следвате стъпките в тази статия. Процесът е доста прост и работи върху тях
В това ръководство ще настроим сървър за игри Counter Strike: Source на Debian 7. Тези команди бяха тествани на Debian 7, но те също трябва да работят o
В това ръководство ще научите как да настроите Unturned 2.2.5 сървър на Vultr VPS, работещ с Debian 8. Забележка: Това е редактирана версия на Unturned, която не
В този урок ще научите как да инсталирате Cachet на Debian 8. Cachet е мощна система за страници със статус с отворен код. Инсталиране Този урок е готов
Въведение В тази статия, разгледайте как да архивирате множество MySQL или MariaDB бази данни, които се намират на една и съща машина с помощта на персонализиран bash scrip
Тази статия ще ви научи как да настроите chroot jail на Debian. Предполагам, че използвате Debian 7.x. Ако използвате Debian 6 или 8, това може да работи, bu
Използване на различна система? Reader Self 3.5 е прост и гъвкав, безплатен и отворен код, самостоятелно хостван RSS четец и алтернатива на Google Reader. Reader Sel
Използване на различна система? Backdrop CMS 1.8.0 е проста и гъвкава, удобна за мобилни устройства, безплатна система за управление на съдържанието (CMS) с отворен код, която ни позволява
В този урок ще инсталираме SteamCMD. SteamCMD може да се използва за изтегляне и инсталиране на много сървъри за игри на Steam, като Counter-Strike: Global Offensiv
Както може би знаете, хранилищата на Debian се актуализират много бавно. Към момента на писане версиите на версията на Python са 2.7.12 и 3.5.2, но в хранилището на Debian 8
Samba е решение с отворен код, което позволява на потребителите да настройват бързо и сигурно споделяне на файлове и печат. В тази статия ще разгледам как да настроя Samba wit
Изкуственият интелект не е в бъдещето, тук е точно в настоящето. В този блог Прочетете как приложенията за изкуствен интелект са повлияли на различни сектори.
Вие също сте жертва на DDOS атаки и сте объркани относно методите за превенция? Прочетете тази статия, за да разрешите вашите запитвания.
Може би сте чували, че хакерите печелят много пари, но чудили ли сте се някога как печелят такива пари? нека обсъдим.
Искате ли да видите революционни изобретения на Google и как тези изобретения промениха живота на всяко човешко същество днес? След това прочетете в блога, за да видите изобретенията на Google.
Концепцията за самоуправляващи се автомобили да тръгват по пътищата с помощта на изкуствен интелект е мечта, която имаме от известно време. Но въпреки няколкото обещания, те не се виждат никъде. Прочетете този блог, за да научите повече…
Тъй като науката се развива с бързи темпове, поемайки много от нашите усилия, рискът да се подложим на необяснима сингулярност също нараства. Прочетете какво може да означава сингулярността за нас.
Методите за съхранение на данните може да се развиват от раждането на данните. Този блог обхваща развитието на съхранението на данни на базата на инфографика.
Прочетете блога, за да разберете различни слоеве в архитектурата на големи данни и техните функционалности по най-простия начин.
В този дигитално задвижван свят устройствата за интелигентен дом се превърнаха в решаваща част от живота. Ето няколко невероятни предимства на интелигентните домашни устройства за това как те правят живота ни струващ и по-опростен.
Наскоро Apple пусна macOS Catalina 10.15.4 допълнителна актуализация за отстраняване на проблеми, но изглежда, че актуализацията причинява повече проблеми, водещи до блокиране на mac машини. Прочетете тази статия, за да научите повече
