Kuidas konfigureerida Snort Debianis

Snort on tasuta võrgu sissetungi tuvastamise süsteem (IDS). Vähem ametlikult öeldes võimaldab see teil reaalajas jälgida oma võrku kahtlaste tegevuste suhtes . Praegu on Snortil paketid Fedora, CentOS, FreeBSD ja Windowsi-põhiste süsteemide jaoks. Täpne installimeetod on OS-ide lõikes erinev. Selles õpetuses installime otse Snorti lähtefailidest. See juhend on kirjutatud Debiani jaoks.

Värskendage, uuendage ja taaskäivitage

Enne kui me Snorti allikad tegelikult kätte saame, peame veenduma, et meie süsteem on ajakohane. Seda saame teha allolevate käskude andmisega.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Eelinstalli konfiguratsioon

Kui teie süsteem on taaskäivitatud, peame installima mitu paketti, et veenduda SBPP installimises. Suutsin aru saada, et mitu paketti oli vaja, nii et põhikäsk on allpool.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Kui kõik paketid on installitud, peate oma lähtefailide jaoks looma ajutise kataloogi – need võivad olla kõikjal, kus soovite. Ma hakkan kasutama /usr/src/snort_src. Selle kausta loomiseks peate olema rootkasutajana sisse logitud või omama sudoõigusi – rootsee teeb selle lihtsamaks.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Data Acquisition Library (DAQ) installimine

Enne Snorti allika hankimist peame installima DAQ. Seda on üsna lihtne paigaldada.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Ekstraktige failid tarballist.

tar xvfz daq-2.0.6.tar.gz

Minge DAQ kataloogi.

cd daq-2.0.6

Konfigureerige ja installige DAQ.

./configure; make; sudo make install

Viimane rida käivitatakse ./configureesimesena. Siis see täidetakse make. Lõpuks käivitab see make install. Kasutame siin lühemat süntaksit, et tippimisel veidi kokku hoida.

Snorti installimine

Tahame veenduda, et oleme /usr/src/snort_srcuuesti kataloogis, seega minge kindlasti sellesse kataloogi, kasutades järgmist:

cd /usr/src/snort_src

Nüüd, kui oleme allikate kataloogis, laadime alla tar.gzallika faili. Selle kirjutamise ajal on Snorti uusim versioon 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Snorti installimise käsud on väga sarnased DAQ-i jaoks kasutatavatele, kuid neil on erinevad valikud.

Ekstraktige Snorti lähtefailid.

tar xvfz snort-2.9.8.0.tar.gz

Muutke lähtekataloogi.

cd snort-2.9.8.0

Seadistage ja installige allikad.

 ./configure --enable-sourcefire; make; sudo make install

Pärast Snorti installimist

Kui oleme Snorti installinud, peame veenduma, et meie jagatud teegid on ajakohased. Seda saame teha käsuga:

sudo ldconfig

Pärast seda testige oma Snorti installi:

snort --version

Kui see käsk ei tööta, peate looma sümlingi. Seda saate teha, tippides:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Saadud väljund sarnaneb järgmisega:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Snorti juurdumine

Nüüd, kui snort on installitud, ei taha me, et see töötaks nimega root, seega peame looma snortkasutaja ja grupi. Uue kasutaja ja grupi loomiseks saame kasutada neid kahte käsku:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Kuna oleme programmi installinud allika abil, peame looma konfiguratsioonifailid ja snorti reeglid.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Pärast kataloogide ja reeglite loomist peame nüüd looma logikataloogi.

sudo mkdir /var/log/snort

Ja lõpuks, enne kui saame reeglid lisada, vajame kohta dünaamiliste reeglite salvestamiseks.

sudo mkdir /usr/local/lib/snort_dynamicrules

Kui kõik eelmised failid on loodud, määrake neile õiged õigused.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Konfiguratsioonifailide seadistamine

Aja säästmiseks ja kõige kopeerimise ja kleepimise vältimiseks kopeerige lihtsalt kõik failid konfiguratsioonikataloogi.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nüüd, kui konfiguratsioonifailid on olemas, saate teha ühte kahest toimingust.

• Saate lubada Barnyard2
• Või võite lihtsalt konfiguratsioonifailid rahule jätta ja soovitud reeglid valikuliselt lubada.

Mõlemal juhul soovite siiski mõnda asja muuta. Jätka lugemist.

Seadistamine

Kui /etc/snort/snort.conffaili, siis on vaja muuta muutuja HOME_NET. See peaks olema seatud teie sisevõrgu IP-plokile, et see ei logiks teie enda võrgu katseid serverisse sisse logida. See võib olla 10.0.0.0/24või 192.168.0.0/16. /etc/snort/snort.confMuutke 45. real muutuja HOME_NEToma võrgu IP-ploki sellele väärtusele.

Minu võrgus näeb see välja selline:

ipvar HOME_NET 192.168.0.0/16

Seejärel peate EXTERNAL_NETmuutuja määrama järgmiselt:

any

Mis muutub lihtsalt selleks EXERNAL_NET, mida sa HOME_NETpole.

Reeglite kehtestamine

Nüüd, kui suurem osa süsteemist on seadistatud, peame selle väikese põrsa jaoks oma reeglid konfigureerima. Kuskil oma /etc/snort/snort.conffaili real 104 peaksite nägema deklaratsiooni "var" ja muutujaid RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, ja BLACK_LIST_PATH. Nende väärtused tuleks määrata teedele, mida kasutasime Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Kui need väärtused on määratud, kustutage või kommenteerige praegused reeglid alates umbes realt 548.

Nüüd kontrollime, kas teie konfiguratsioon on õige. Saate seda kinnitada snort.

 # snort -T -c /etc/snort/snort.conf

Näete väljundit, mis sarnaneb järgmisega (lühiduse huvides kärbitud).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nüüd, kui kõik on konfigureeritud ilma vigadeta, oleme valmis alustama Snorti testimist.

Snorti testimine

Lihtsaim viis Snorti testimiseks on lubada local.rules. See on fail, mis sisaldab teie kohandatud reegleid.

Kui olete snort.conffailis kuskil rea 546 kandis märganud , on see rida olemas:

include $RULE_PATH/local.rules

Kui teil seda pole, lisage see umbes 546. Seejärel saate local.rulesfaili testimiseks kasutada. Põhitestina lasen Snortil lihtsalt jälgida pingitaotlust (ICMP taotlus). Saate seda teha, lisades oma local.rulesfailile järgmise rea .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Kui see on failis, salvestage see ja jätkake lugemist.

Käivitage test

Järgmine käsk käivitab Snort'i ja prindib "kiirrežiimi" hoiatused, kui kasutaja nurrub rühma snort all, kasutades config /etc/snort/snort.conf, ja see kuulab võrguliidest eno1. Peate üle eno1minema mis tahes võrguliidesele, mida teie süsteem kuulab.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Kui olete selle käivitanud, pingige see arvuti. Te hakkate nägema väljundit, mis näeb välja järgmine:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Programmist väljumiseks võite vajutada Ctrl+C ja ongi kõik. Snort on kõik seadistatud. Nüüd saate kasutada mis tahes reegleid, mida soovite.

Lõpetuseks tahan märkida, et kogukonna poolt on kehtestatud mõned avalikud reeglid, mille saate alla laadida ametlikult saidilt vahekaardil "Kogukond". Otsige üles "Snort", siis selle all on kogukonna link. Laadige see alla, ekstraktige see ja otsige community.rulesfail üles.