Sådan konfigureres Snort på Debian

Snort er et gratis netværksindtrængningssystem (IDS). I mindre officielle termer giver det dig mulighed for at overvåge dit netværk for mistænkelig aktivitet i realtid . I øjeblikket har Snort pakker til Fedora, CentOS, FreeBSD og Windows-baserede systemer. Den nøjagtige installationsmetode varierer mellem OS'er. I denne vejledning vil vi installere direkte fra kildefilerne til Snort. Denne vejledning er skrevet til Debian.

Opdater, opgrader og genstart

Før vi rent faktisk får fingrene i Snort-kilderne, skal vi sikre os, at vores system er opdateret. Vi kan gøre dette ved at udstede kommandoerne nedenfor.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Pre-install konfiguration

Når dit system er genstartet, skal vi installere en række pakker for at sikre, at vi kan installere SBPP. Jeg var i stand til at finde ud af, at en række af de pakker, der var nødvendige, så basiskommandoen er nedenfor.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Når alle pakkerne er installeret, skal du oprette en midlertidig mappe til dine kildefiler - de kan være hvor som helst du ønsker. Jeg vil bruge /usr/src/snort_src. For at oprette denne mappe skal du være logget ind som rootbruger eller have sudotilladelser - rootgør det bare nemmere.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Installation af Data Acquisition Library (DAQ)

Før vi kan få kilden til Snort, skal vi installere DAQ'en. Det er ret nemt at installere.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Udpak filerne fra tarballen.

tar xvfz daq-2.0.6.tar.gz

Skift til DAQ-biblioteket.

cd daq-2.0.6

Konfigurer og installer DAQ'en.

./configure; make; sudo make install

Den sidste linje udføres ./configureførst. Så vil den udføres make. Til sidst vil det udføres make install. Vi bruger den kortere syntaks her bare for at spare lidt på at skrive.

Installerer Snort

Vi vil gerne sikre os, at vi er i /usr/src/snort_srcmappen igen, så sørg for at skifte til den mappe med:

cd /usr/src/snort_src

Nu hvor vi er i biblioteket for kilderne, vil vi downloade tar.gzfilen til kilden. I skrivende stund er den seneste version af Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Kommandoerne til faktisk at installere snort er meget lig dem, der bruges til DAQ, men de har forskellige muligheder.

Udpak Snort-kildefilerne.

tar xvfz snort-2.9.8.0.tar.gz

Skift til kildebiblioteket.

cd snort-2.9.8.0

Konfigurer og installer kilderne.

 ./configure --enable-sourcefire; make; sudo make install

Efterinstallation af Snort

Når vi har Snort installeret, skal vi sikre os, at vores delte biblioteker er opdaterede. Vi kan gøre dette ved at bruge kommandoen:

sudo ldconfig

Når vi har gjort det, test din Snort-installation:

snort --version

Hvis denne kommando ikke virker, skal du oprette et symbollink. Du kan gøre dette ved at skrive:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Det resulterende output vil ligne følgende:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Afroder Snort

Nu hvor vi har installeret snort, vil vi ikke have det til at køre som root, så vi skal oprette en snortbruger og gruppe. For at oprette en ny bruger og gruppe kan vi bruge disse to kommandoer:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Da vi har installeret programmet ved hjælp af kilden, skal vi oprette konfigurationsfilerne og reglerne for snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Efter at vi har oprettet mapperne og reglerne, skal vi nu oprette logbiblioteket.

sudo mkdir /var/log/snort

Og til sidst, før vi kan tilføje nogen regler, har vi brug for et sted at gemme de dynamiske regler.

sudo mkdir /usr/local/lib/snort_dynamicrules

Når alle de tidligere filer er blevet oprettet, skal du indstille de korrekte tilladelser til dem.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Opsætning af konfigurationsfiler

For at spare en masse tid og for at undgå at skulle kopiere og indsætte alt, lad os bare kopiere alle filerne til konfigurationsmappen.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nu hvor konfigurationsfilerne er der, kan du gøre en af ​​to ting:

• Du kan aktivere Barnyard2
• Eller du kan bare lade konfigurationsfilerne være i fred og selektivt aktivere de ønskede regler.

Uanset hvad, vil du stadig gerne ændre et par ting. Fortsæt med at læse.

Konfiguration

I /etc/snort/snort.conffilen skal du ændre variablen HOME_NET. Den skal indstilles til dit interne netværks IP-blok, så den ikke logger dit eget netværks forsøg på at logge ind på serveren. Dette kan være 10.0.0.0/24eller 192.168.0.0/16. På linje 45 /etc/snort/snort.confændres variablen HOME_NETtil værdien af ​​dit netværks IP-blok.

På mit netværk ser det sådan ud:

ipvar HOME_NET 192.168.0.0/16

Derefter skal du indstille EXTERNAL_NETvariablen til:

any

Som bare bliver EXERNAL_NETtil det, du HOME_NETikke er.

Sætter reglerne

Nu hvor et stort flertal af systemet er sat op, skal vi konfigurere vores regler for denne lille gris. Et sted omkring linje 104 i din /etc/snort/snort.conffil burde du se en "var"-erklæring og variablerne RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, og BLACK_LIST_PATH. Deres værdier skal indstilles til de stier, vi brugte i Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Når disse værdier er indstillet, skal du slette eller kommentere de nuværende regler fra omkring linje 548.

Lad os nu tjekke for at sikre, at din konfiguration er korrekt. Du kan bekræfte det med snort.

 # snort -T -c /etc/snort/snort.conf

Du vil se output svarende til det følgende (trunkeret for kortheds skyld).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nu hvor alt er konfigureret uden fejl, er vi klar til at begynde at teste Snort.

Tester Snort

Den nemmeste måde at teste Snort på er ved at aktivere local.rules. Dette er en fil, der indeholder dine brugerdefinerede regler.

Hvis du har bemærket i snort.conffilen, et sted omkring linje 546, findes denne linje:

include $RULE_PATH/local.rules

Hvis du ikke har det, bedes du tilføje det omkring 546. Du kan derefter bruge local.rulesfilen til at teste. Som en grundlæggende test har jeg bare Snort til at holde styr på en ping-anmodning (ICMP-anmodning). Du kan gøre det ved at tilføje i følgende linje til din local.rulesfil.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Når du har det i din fil, skal du gemme det og fortsætte med at læse.

Kør testen

Den følgende kommando vil starte Snort og udskrive "hurtig tilstand"-alarmer, mens brugeren snorker, under gruppesnorten, ved hjælp af config /etc/snort/snort.conf, og den vil lytte på netværksgrænsefladen eno1. Du bliver nødt til at skifte eno1til den netværksgrænseflade, dit system lytter på.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Når du har den kørende, ping den computer. Du vil begynde at se output, der ser ud som følgende:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Du kan trykke på Ctrl+C for at afslutte programmet, og det er det. Snorten er alt sammen sat op. Du kan nu bruge de regler, du ønsker.

Til sidst vil jeg bemærke, at der er nogle offentlige regler lavet af fællesskabet, som du kan downloade fra det officielle websted under fanen "Fællesskab". Se efter "Snort", så lige under det er der et fællesskabslink. Download det, udpak det, og kig efter community.rulesfilen.