Как да конфигурирате Snort в Debian

Snort е безплатна система за откриване на проникване в мрежа (IDS). С по-малко официални термини, това ви позволява да наблюдавате мрежата си за подозрителна активност в реално време . В момента Snort има пакети за Fedora, CentOS, FreeBSD и Windows-базирани системи. Точният метод на инсталиране варира в различните операционни системи. В този урок ще инсталираме директно от изходните файлове за Snort. Това ръководство е написано за Debian.

Актуализиране, надграждане и рестартиране

Преди да се доберем до източниците на Snort, трябва да се уверим, че нашата система е актуална. Можем да направим това, като издадем командите по-долу.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Конфигурация преди инсталиране

След като вашата система се рестартира, трябва да инсталираме редица пакети, за да сме сигурни, че можем да инсталираме SBPP. Успях да разбера, че редица пакети бяха необходими, така че основната команда е по-долу.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

След като всички пакети бъдат инсталирани, ще трябва да създадете временна директория за вашите изходни файлове - те могат да бъдат навсякъде, където пожелаете. ще използвам /usr/src/snort_src. За да създадете тази папка, ще трябва да сте влезли като rootпотребител или да имате sudoразрешения - rootпросто улеснява работата.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Инсталиране на библиотеката за събиране на данни (DAQ)

Преди да можем да получим източника за Snort, трябва да инсталираме DAQ. Доста лесно се инсталира.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Извлечете файловете от tarball.

tar xvfz daq-2.0.6.tar.gz

Променете в DAQ директорията.

cd daq-2.0.6

Конфигурирайте и инсталирайте DAQ.

./configure; make; sudo make install

Този последен ред ще се изпълни ./configureпърви. След това ще се изпълни make. И накрая, той ще изпълни make install. Тук използваме по-краткия синтаксис, само за да спестим малко от въвеждане.

Инсталиране на Snort

Искаме да сме сигурни, че отново сме в /usr/src/snort_srcдиректорията, така че не забравяйте да промените в тази директория с:

cd /usr/src/snort_src

Сега, когато сме в директорията за източниците, ще изтеглим tar.gzфайла за източника. Към момента на писане на тази статия най-новата версия на Snort е 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Командите за действително инсталиране на snort са много подобни на тези, използвани за DAQ, но имат различни опции.

Извлечете изходните файлове на Snort.

tar xvfz snort-2.9.8.0.tar.gz

Променете в изходната директория.

cd snort-2.9.8.0

Конфигурирайте и инсталирайте източниците.

 ./configure --enable-sourcefire; make; sudo make install

След инсталиране на Snort

След като инсталираме Snort, трябва да се уверим, че нашите споделени библиотеки са актуални. Можем да направим това с помощта на командата:

sudo ldconfig

След като направим това, тествайте вашата инсталация на Snort:

snort --version

Ако тази команда не работи, ще трябва да създадете символна връзка. Можете да направите това, като напишете:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Полученият резултат ще прилича на следното:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Премахване на root Snort

Сега, когато имаме инсталиран snort, не искаме да работи като root, така че трябва да създадем snortпотребител и група. За да създадем нов потребител и група, можем да използваме тези две команди:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Тъй като сме инсталирали програмата с помощта на източника, трябва да създадем конфигурационните файлове и правилата за snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

След като създадем директориите и правилата, сега трябва да създадем директорията на журнала.

sudo mkdir /var/log/snort

И накрая, преди да можем да добавим някакви правила, имаме нужда от място за съхранение на динамичните правила.

sudo mkdir /usr/local/lib/snort_dynamicrules

След като всички предишни файлове бъдат създадени, задайте правилните разрешения за тях.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Настройка на конфигурационните файлове

За да спестите много време и да не се налага да копирате и поставяте всичко, нека просто копирате всички файлове в конфигурационната директория.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Сега, когато конфигурационните файлове са там, можете да направите едно от двете неща:

• Можете да активирате Barnyard2
• Или можете просто да оставите конфигурационните файлове сами и избирателно да активирате желаните правила.

Така или иначе, все пак ще искате да промените някои неща. Продължавай да четеш.

Конфигурация

Във /etc/snort/snort.confфайла ще трябва да промените променливата HOME_NET. Трябва да бъде настроен на IP блока на вашата вътрешна мрежа, така че да не регистрира опитите на вашата собствена мрежа да влезе в сървъра. Това може да бъде 10.0.0.0/24или 192.168.0.0/16. На ред 45 /etc/snort/snort.confпроменете променливата HOME_NETна тази стойност на IP блока на вашата мрежа.

В моята мрежа изглежда така:

ipvar HOME_NET 192.168.0.0/16

След това ще трябва да зададете EXTERNAL_NETпроменливата на:

any

Което просто се превръща EXERNAL_NETв това, което HOME_NETне си.

Определяне на правилата

Сега, когато по-голямата част от системата е настроена, трябва да конфигурираме нашите правила за това малко прасенце. Някъде около линия 104 във вашия /etc/snort/snort.confфайл, трябва да видите "Var" декларация и променливите RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, и BLACK_LIST_PATH. Техните стойности трябва да бъдат зададени на пътищата, които използвахме в Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

След като тези стойности бъдат зададени, изтрийте или коментирайте текущите правила, започвайки от около ред 548.

Сега нека проверим дали конфигурацията ви е правилна. Можете да го проверите с snort.

 # snort -T -c /etc/snort/snort.conf

Ще видите изход, подобен на следния (съкратен за краткост).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Сега, когато всичко е конфигурирано без грешки, ние сме готови да започнем да тестваме Snort.

Тестване на Snort

Най-лесният начин да тествате Snort е като активирате local.rules. Това е файл, който съдържа вашите персонализирани правила.

Ако сте забелязали във snort.confфайла, някъде около ред 546, съществува този ред:

include $RULE_PATH/local.rules

Ако го нямате, моля, добавете го около 546. След това можете да използвате local.rulesфайла за тестване. Като основен тест, просто имам Snort да следи ping заявка (ICMP заявка). Можете да направите това, като добавите следния ред към вашия local.rulesфайл.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

След като го имате във вашия файл, запазете го и продължете да четете.

Изпълнете теста

Следната команда ще стартира Snort и ще отпечата сигнали за "бърз режим", тъй като потребителят изсумти под групата, използвайки config /etc/snort/snort.conf, и ще слуша в мрежовия интерфейс eno1. Ще трябва да преминете eno1към какъвто и мрежов интерфейс да слуша вашата система.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

След като го стартирате, пингувайте този компютър. Ще започнете да виждате изход, който изглежда по следния начин:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Можете да натиснете Ctrl+C, за да излезете от програмата и това е всичко. Snort е готов. Сега можете да използвате всякакви правила, които желаете.

И накрая, искам да отбележа, че има някои публични правила, създадени от общността, които можете да изтеглите от официалния сайт в раздела „Общност“. Потърсете "Snort", след това точно под това има връзка към общността. Изтеглете го, извлечете го и потърсете community.rulesфайла.