Jak nakonfigurovat Snort na Debianu

Snort je bezplatný systém detekce narušení sítě (IDS). Méně oficiálními slovy, umožňuje vám v reálném čase sledovat podezřelou aktivitu ve vaší síti . V současné době má Snort balíčky pro Fedora, CentOS, FreeBSD a systémy založené na Windows. Přesný způsob instalace se liší mezi OS. V tomto tutoriálu budeme instalovat přímo ze zdrojových souborů pro Snort. Tato příručka byla napsána pro Debian.

Aktualizujte, upgradujte a restartujte

Než se skutečně dostaneme ke zdrojům Snortu, musíme se ujistit, že náš systém je aktuální. Můžeme to udělat zadáním příkazů níže.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Konfigurace před instalací

Jakmile se váš systém restartuje, musíme nainstalovat několik balíčků, abychom se ujistili, že můžeme nainstalovat SBPP. Podařilo se mi zjistit, že bylo potřeba několik balíčků, takže základní příkaz je níže.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Jakmile jsou všechny balíčky nainstalovány, budete muset vytvořit dočasný adresář pro vaše zdrojové soubory – mohou být kdekoli, kde chcete. budu používat /usr/src/snort_src. Chcete-li vytvořit tuto složku, musíte být přihlášeni jako rootuživatel nebo mít sudooprávnění – rootjen to usnadňuje.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Instalace knihovny pro získávání dat (DAQ)

Než získáme zdroj pro Snort, musíme nainstalovat DAQ. Instalace je poměrně jednoduchá.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrahujte soubory z tarballu.

tar xvfz daq-2.0.6.tar.gz

Přejděte do adresáře DAQ.

cd daq-2.0.6

Nakonfigurujte a nainstalujte DAQ.

./configure; make; sudo make install

Poslední řádek se provede jako ./configureprvní. Poté se provede make. Nakonec se provede make install. Zde používáme kratší syntaxi, abychom trochu ušetřili na psaní.

Instalace Snortu

Chceme se ujistit, že jsme /usr/src/snort_srcznovu v adresáři, takže nezapomeňte přejít do tohoto adresáře pomocí:

cd /usr/src/snort_src

Nyní, když jsme v adresáři pro zdroje, stáhneme tar.gzsoubor pro zdroj. V době psaní tohoto článku je nejnovější verzí Snortu 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Příkazy pro skutečnou instalaci snortu jsou velmi podobné těm, které se používají pro DAQ, ale mají různé možnosti.

Rozbalte zdrojové soubory Snortu.

tar xvfz snort-2.9.8.0.tar.gz

Přejděte do zdrojového adresáře.

cd snort-2.9.8.0

Nakonfigurujte a nainstalujte zdroje.

 ./configure --enable-sourcefire; make; sudo make install

Po instalaci Snortu

Jakmile máme Snort nainstalovaný, musíme se ujistit, že naše sdílené knihovny jsou aktuální. Můžeme to udělat pomocí příkazu:

sudo ldconfig

Poté, co to uděláme, otestujte instalaci Snortu:

snort --version

Pokud tento příkaz nefunguje, budete muset vytvořit symbolický odkaz. Můžete to udělat zadáním:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Výsledný výstup bude vypadat následovně:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Un-rooting Snort

Nyní, když máme nainstalovaný snort, nechceme, aby běžel jako root, takže musíme vytvořit snortuživatele a skupinu. K vytvoření nového uživatele a skupiny můžeme použít tyto dva příkazy:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Protože jsme program nainstalovali pomocí zdroje, musíme vytvořit konfigurační soubory a pravidla pro snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Poté, co vytvoříme adresáře a pravidla, musíme nyní vytvořit adresář protokolu.

sudo mkdir /var/log/snort

A nakonec, než budeme moci přidat jakákoli pravidla, potřebujeme místo pro uložení dynamických pravidel.

sudo mkdir /usr/local/lib/snort_dynamicrules

Po vytvoření všech předchozích souborů pro ně nastavte správná oprávnění.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Nastavení konfiguračních souborů

Chcete-li ušetřit spoustu času a vyhnout se nutnosti kopírovat a vkládat vše, zkopírujte všechny soubory do konfiguračního adresáře.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nyní, když jsou tam konfigurační soubory, můžete udělat jednu ze dvou věcí:

• Můžete povolit Barnyard2
• Nebo můžete jednoduše ponechat konfigurační soubory a selektivně aktivovat požadovaná pravidla.

Ať tak či onak, stále budete chtít změnit pár věcí. Čti dál.

Konfigurace

V /etc/snort/snort.confsouboru budete muset změnit proměnnou HOME_NET. Mělo by být nastaveno na blok IP vaší vnitřní sítě, aby nezaznamenával pokusy vaší vlastní sítě o přihlášení k serveru. To může být 10.0.0.0/24nebo 192.168.0.0/16. Na řádku 45 /etc/snort/snort.confzměňte proměnnou HOME_NETna hodnotu bloku IP vaší sítě.

V mé síti to vypadá takto:

ipvar HOME_NET 192.168.0.0/16

Poté budete muset nastavit EXTERNAL_NETproměnnou na:

any

Což se prostě změní EXERNAL_NETv to, co vy HOME_NETnejste.

Nastavení pravidel

Nyní, když je velká většina systému nastavena, musíme nakonfigurovat naše pravidla pro toto malé prasátko. Někde kolem linka 104 ve svém /etc/snort/snort.confsouboru, měli byste vidět „var“ prohlášení a proměnné RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATHa BLACK_LIST_PATH. Jejich hodnoty by měly být nastaveny na cesty, které jsme použili v Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Jakmile jsou tyto hodnoty nastaveny, smažte nebo okomentujte aktuální pravidla počínaje řádkem 548.

Nyní se podívejme, zda je vaše konfigurace správná. Můžete si to ověřit pomocí snort.

 # snort -T -c /etc/snort/snort.conf

Uvidíte výstup podobný následujícímu (zkrácený kvůli stručnosti).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nyní, když je vše nakonfigurováno bez chyb, jsme připraveni začít testovat Snort.

Testování Snortu

Nejjednodušší způsob, jak otestovat Snort, je povolením local.rules. Toto je soubor, který obsahuje vaše vlastní pravidla.

Pokud jste si v snort.confsouboru všimli , někde kolem řádku 546, tento řádek existuje:

include $RULE_PATH/local.rules

Pokud jej nemáte, přidejte jej kolem čísla 546. local.rulesSoubor pak můžete použít k testování. Jako základní test mám jen Snort, aby sledoval požadavek na ping (ICMP požadavek). Můžete to udělat přidáním následujícího řádku do local.rulessouboru.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Jakmile to budete mít ve svém souboru, uložte jej a pokračujte ve čtení.

Spusťte test

Následující příkaz spustí Snort a vytiskne výstrahy "rychlého režimu", když uživatel odfrkne, pod skupinovým snortem pomocí config /etc/snort/snort.confa bude naslouchat na síťovém rozhraní eno1. Budete muset přejít eno1na jakékoli síťové rozhraní, na kterém váš systém naslouchá.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Jakmile to spustíte, odešlete na tento počítač ping. Začnete vidět výstup, který vypadá takto:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Můžete stisknout Ctrl+C pro ukončení programu a je to. Snort je nastaven. Nyní můžete použít jakákoli pravidla, která si přejete.

Nakonec bych chtěl poznamenat, že existují některá veřejná pravidla vytvořená komunitou, která si můžete stáhnout z oficiálních stránek na kartě „Komunita“. Hledejte „Snort“, pak těsně pod tím je odkaz na komunitu. Stáhněte si to, rozbalte a vyhledejte community.rulessoubor.