Kuinka määrittää Snort Debianissa

Snort on ilmainen verkkotunkeutumisen havaitsemisjärjestelmä (IDS). Vähemmän virallisesti sanottuna sen avulla voit seurata verkkoasi epäilyttävän toiminnan varalta reaaliajassa . Tällä hetkellä Snortilla on paketteja Fedora-, CentOS-, FreeBSD- ja Windows-pohjaisille järjestelmille. Tarkka asennustapa vaihtelee käyttöjärjestelmien välillä. Tässä opetusohjelmassa asennamme suoraan Snortin lähdetiedostoista. Tämä opas on kirjoitettu Debianille.

Päivitä, päivitä ja käynnistä uudelleen

Ennen kuin saamme käsiimme Snort-lähteet, meidän on varmistettava, että järjestelmämme on ajan tasalla. Voimme tehdä tämän antamalla alla olevat komennot.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Esiasennuskokoonpano

Kun järjestelmäsi on käynnistetty uudelleen, meidän on asennettava useita paketteja varmistaaksemme, että voimme asentaa SBPP:n. Pystyin selvittämään, että useita paketteja tarvittiin, joten peruskomento on alla.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Kun kaikki paketit on asennettu, sinun on luotava väliaikainen hakemisto lähdetiedostoille - ne voivat olla missä tahansa. aion käyttää /usr/src/snort_src. Tämän kansion luominen edellyttää, että olet kirjautunut sisään rootkäyttäjänä tai sinulla on oltava sudokäyttöoikeudet – tämä rootvain helpottaa.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Data Acquisition Libraryn (DAQ) asentaminen

Ennen kuin saamme Snortin lähteen, meidän on asennettava DAQ. Se on melko yksinkertainen asentaa.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Pura tiedostot tarballista.

tar xvfz daq-2.0.6.tar.gz

Vaihda DAQ-hakemistoon.

cd daq-2.0.6

Määritä ja asenna DAQ.

./configure; make; sudo make install

Viimeinen rivi suoritetaan ./configureensimmäisenä. Sitten se suoritetaan make. Lopuksi se suorittaa make install. Käytämme tässä lyhyempää syntaksia vain säästääksemme hieman kirjoittamista.

Snortin asentaminen

Haluamme varmistaa, että olemme /usr/src/snort_srcjälleen hakemistossa, joten muista vaihtaa kyseiseen hakemistoon seuraavasti:

cd /usr/src/snort_src

Nyt kun olemme lähteiden hakemistossa, lataamme tar.gzlähteen tiedoston. Tätä kirjoitettaessa Snortin uusin versio on 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Snortin asennuskomennot ovat hyvin samankaltaisia ​​kuin DAQ:ssa käytetyt, mutta niillä on eri vaihtoehdot.

Pura Snort-lähdetiedostot.

tar xvfz snort-2.9.8.0.tar.gz

Vaihda lähdehakemistoon.

cd snort-2.9.8.0

Määritä ja asenna lähteet.

 ./configure --enable-sourcefire; make; sudo make install

Snortin asennuksen jälkeen

Kun Snort on asennettu, meidän on varmistettava, että jaetut kirjastomme ovat ajan tasalla. Voimme tehdä tämän komennolla:

sudo ldconfig

Kun olemme tehneet sen, testaa Snort-asennusta:

snort --version

Jos tämä komento ei toimi, sinun on luotava symbolilinkki. Voit tehdä tämän kirjoittamalla:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Tuloksena oleva tulos muistuttaa seuraavaa:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Unrooting Snort

Nyt kun snort on asennettu, emme halua sen toimivan nimellä root, joten meidän on luotava snortkäyttäjä ja ryhmä. Uuden käyttäjän ja ryhmän luomiseksi voimme käyttää näitä kahta komentoa:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Koska olemme asentaneet ohjelman lähteen avulla, meidän on luotava asetustiedostot ja säännöt snortille.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Kun olemme luoneet hakemistot ja säännöt, meidän on nyt luotava lokihakemisto.

sudo mkdir /var/log/snort

Ja lopuksi, ennen kuin voimme lisätä sääntöjä, tarvitsemme paikan dynaamisten sääntöjen tallentamiseen.

sudo mkdir /usr/local/lib/snort_dynamicrules

Kun kaikki aiemmat tiedostot on luotu, aseta niille oikeat käyttöoikeudet.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Asetetaan konfiguraatiotiedostoja

Voit säästää aikaa ja välttää kaiken kopioimisen ja liittämisen kopioimalla kaikki tiedostot asetushakemistoon.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nyt kun asetustiedostot ovat siellä, voit tehdä jommankumman seuraavista:

• Voit ottaa Barnyard2:n käyttöön
• Tai voit jättää konfigurointitiedostot rauhaan ja ottaa halutut säännöt valikoivasti käyttöön.

Joka tapauksessa haluat silti muuttaa muutamia asioita. Jatka lukemista.

Kokoonpano

Vuonna /etc/snort/snort.conftiedosto, sinun täytyy muuttaa muuttujan HOME_NET. Se tulee asettaa sisäisen verkkosi IP-lohkoon, jotta se ei kirjaa oman verkkosi yrityksiä kirjautua palvelimelle. Tämä voi olla 10.0.0.0/24tai 192.168.0.0/16. /etc/snort/snort.confMuuta muuttuja HOME_NETverkkosi IP-lohkon arvoon rivillä 45 .

Verkossani se näyttää tältä:

ipvar HOME_NET 192.168.0.0/16

Sitten sinun on asetettava EXTERNAL_NETmuuttujaksi:

any

Joka vain muuttuu EXERNAL_NETmitä et HOME_NETole.

Sääntöjen asettaminen

Nyt kun suurin osa järjestelmästä on asennettu, meidän on määritettävä säännöt tälle pienelle possulle. Jossain /etc/snort/snort.conftiedostosi rivillä 104 sinun pitäisi nähdä "var"-ilmoitus ja muuttujat RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, ja BLACK_LIST_PATH. Niiden arvot tulee asettaa poluille, joita käytimme kohdassa Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Kun nämä arvot on asetettu, poista tai kommentoi nykyiset säännöt noin riviltä 548 alkaen.

Nyt tarkistetaan, että määritykset ovat oikein. Voit varmistaa sen käyttämällä snort.

 # snort -T -c /etc/snort/snort.conf

Näet seuraavan kaltaisen tulosteen (lyhennetty lyhyyden vuoksi).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nyt kun kaikki on määritetty ilman virheitä, olemme valmiita aloittamaan Snortin testauksen.

Snortin testaus

Helpoin tapa testata Snort on ottaa käyttöön local.rules. Tämä on tiedosto, joka sisältää mukautetut säännöt.

Jos olet huomannut snort.conftiedostossa, jossain rivin 546 paikkeilla, tämä rivi on olemassa:

include $RULE_PATH/local.rules

Jos sinulla ei ole sitä, lisää se noin 546. Voit sitten käyttää local.rulestiedostoa testaukseen. Perustestinä minulla on vain Snort seurata ping-pyyntöä (ICMP-pyyntö). Voit tehdä sen lisäämällä seuraavan rivin local.rulestiedostoosi.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Kun se on tiedostossasi, tallenna se ja jatka lukemista.

Suorita testi

Seuraava komento käynnistää Snort-toiminnon ja tulostaa "fast mode" -hälytyksiä, kun käyttäjä snort -ryhmän alla, käyttämällä config -toimintoa /etc/snort/snort.conf, ja se kuuntelee verkkoliittymää eno1. Sinun on vaihdettava eno1mihin tahansa verkkoliitäntään, jota järjestelmäsi kuuntelee.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Kun olet käynnistänyt sen, ping siihen tietokoneeseen. Alat nähdä tulosteen, joka näyttää seuraavalta:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Voit poistua ohjelmasta painamalla Ctrl+C , ja siinä kaikki. Snort on valmis. Voit nyt käyttää mitä tahansa haluamiasi sääntöjä.

Lopuksi haluan huomauttaa, että on olemassa joitakin yhteisön laatimia julkisia sääntöjä, jotka voit ladata viralliselta sivustolta "Yhteisö"-välilehdeltä. Etsi "Snort", jonka alla on yhteisön linkki. Lataa se, pura se ja etsi community.rulestiedosto.