A Snort konfigurálása Debianon

A Snort egy ingyenes hálózati behatolásérzékelő rendszer (IDS). Kevésbé hivatalos kifejezéssel élve, lehetővé teszi, hogy valós időben figyelje hálózatát gyanús tevékenységekre . A Snort jelenleg Fedora, CentOS, FreeBSD és Windows alapú rendszerekhez rendelkezik csomagokkal. A pontos telepítési mód operációs rendszerenként eltérő. Ebben az oktatóanyagban közvetlenül a Snort forrásfájljaiból fogunk telepíteni. Ez az útmutató a Debian számára készült.

Frissítés, frissítés és újraindítás

Mielőtt ténylegesen a Snort-forrásokra nyúlnánk, meg kell győződnünk arról, hogy rendszerünk naprakész. Ezt az alábbi parancsok kiadásával tehetjük meg.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Telepítés előtti konfiguráció

Miután a rendszer újraindult, számos csomagot kell telepítenünk, hogy megbizonyosodjunk arról, hogy tudjuk telepíteni az SBPP-t. Sikerült rájönnöm, hogy néhány csomagra szükség volt, így az alapparancs lent található.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Miután az összes csomagot telepítette, létre kell hoznia egy ideiglenes könyvtárat a forrásfájlok számára – bárhol lehetnek. Használni fogom /usr/src/snort_src. A mappa létrehozásához be kell jelentkeznie rootfelhasználóként, vagy sudojogosultságokkal kell rendelkeznie – ez rootcsak megkönnyíti.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

A Data Acquisition Library (DAQ) telepítése

Mielőtt megszereznénk a Snort forrását, telepítenünk kell a DAQ-t. Telepítése meglehetősen egyszerű.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Bontsa ki a fájlokat a tarballból.

tar xvfz daq-2.0.6.tar.gz

Váltson be a DAQ könyvtárba.

cd daq-2.0.6

Konfigurálja és telepítse a DAQ-t.

./configure; make; sudo make install

Az utolsó sor fog ./configureelőször végrehajtani . Akkor végrehajtja make. Végül azt végrehajtja make install. Itt a rövidebb szintaxist használjuk, csak hogy megspóroljunk egy kicsit a gépelésen.

A Snort telepítése

Szeretnénk megbizonyosodni arról, hogy /usr/src/snort_srcismét a könyvtárban vagyunk , ezért mindenképpen váltson át ebbe a könyvtárba a következőkkel:

cd /usr/src/snort_src

Most, hogy a források könyvtárában vagyunk, letöltjük tar.gza forrás fájlját. Az írás idején a Snort legújabb verziója a 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

A snort tényleges telepítéséhez szükséges parancsok nagyon hasonlóak a DAQ-hoz használt parancsokhoz, de eltérő opciókkal rendelkeznek.

Bontsa ki a Snort forrásfájlokat.

tar xvfz snort-2.9.8.0.tar.gz

Váltson át a forráskönyvtárba.

cd snort-2.9.8.0

Konfigurálja és telepítse a forrásokat.

 ./configure --enable-sourcefire; make; sudo make install

A Snort telepítése után

Miután telepítettük a Snortot, meg kell győződnünk arról, hogy megosztott könyvtáraink naprakészek. Ezt a következő paranccsal tehetjük meg:

sudo ldconfig

Miután ezt megtettük, tesztelje a Snort telepítését:

snort --version

Ha ez a parancs nem működik, létre kell hoznia egy szimbolikus hivatkozást. Ezt a következő beírásával teheti meg:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Az eredményül kapott kimenet a következőhöz fog hasonlítani:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

A Snort gyökereinek megszüntetése

Most, hogy a snort telepítve van, nem akarjuk, hogy a következő néven fusson root, ezért létre kell hoznunk egy snortfelhasználót és egy csoportot. Új felhasználó és csoport létrehozásához a következő két parancsot használhatjuk:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Mivel a programot a forrás segítségével telepítettük, létre kell hoznunk a konfigurációs fájlokat és a snort szabályait.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Miután létrehoztuk a könyvtárakat és a szabályokat, létre kell hoznunk a naplókönyvtárat.

sudo mkdir /var/log/snort

És végül, mielőtt bármilyen szabályt hozzáadnánk, szükségünk van egy helyre a dinamikus szabályok tárolására.

sudo mkdir /usr/local/lib/snort_dynamicrules

Miután az összes előző fájlt létrehozta, állítsa be a megfelelő engedélyeket.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

A konfigurációs fájlok beállítása

Ha sok időt szeretne megtakarítani, és ne kelljen mindent másolni és beilleszteni, egyszerűen másolja be az összes fájlt a konfigurációs könyvtárba.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Most, hogy a konfigurációs fájlok megvannak, két dolgot tehet:

• Engedélyezheti a Barnyard2-t
• Vagy egyszerűen hagyja békén a konfigurációs fájlokat, és szelektíven engedélyezze a kívánt szabályokat.

Akárhogy is, néhány dolgon továbbra is változtatni fog. Olvass tovább.

Konfiguráció

A /etc/snort/snort.conffájlban meg kell változtatnia a változót HOME_NET. A belső hálózat IP-blokkjára kell állítani, hogy ne naplózza a saját hálózatának a szerverre való bejelentkezési kísérleteit. Ez lehet 10.0.0.0/24vagy 192.168.0.0/16. A 45. sorában /etc/snort/snort.confmódosítsa a változót HOME_NETa hálózat IP-blokkjának erre az értékére.

Az én hálózatomon ez így néz ki:

ipvar HOME_NET 192.168.0.0/16

Ezután be kell állítania a EXTERNAL_NETváltozót a következőre:

any

Ami csak EXERNAL_NETazzá változik , ami a HOME_NETtiéd nem.

A szabályok felállítása

Most, hogy a rendszer nagy többsége be van állítva, konfigurálnunk kell a szabályainkat ehhez a kis malachoz. Valahol a /etc/snort/snort.conffájl 104. sora környékén látnia kell egy „var” deklarációt és a RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, és változókat BLACK_LIST_PATH. Értékeiket az általunk használt útvonalakra kell beállítani Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Miután beállította ezeket az értékeket, törölje vagy írja megjegyzésbe a jelenlegi szabályokat az 548. sortól kezdve.

Most pedig ellenőrizzük, hogy a konfiguráció helyes-e. Ezzel ellenőrizheti snort.

 # snort -T -c /etc/snort/snort.conf

A következőhöz hasonló kimenetet fog látni (a rövidség kedvéért csonkolva).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Most, hogy minden hiba nélkül konfigurálva van, készen állunk a Snort tesztelésének megkezdésére.

Snort tesztelése

A Snort tesztelésének legegyszerűbb módja a local.rules. Ez egy olyan fájl, amely az Ön egyéni szabályait tartalmazza.

Ha észrevette a snort.conffájlban, valahol az 546-os sor környékén ez a sor létezik:

include $RULE_PATH/local.rules

Ha nem rendelkezik vele, kérjük, adja hozzá 546 körül. Ezután használhatja a local.rulesfájlt tesztelésre. Alapvető tesztként csak a Snortnak van szükségem egy ping kérés (ICMP-kérés) nyomon követésére. Ezt úgy teheti meg, hogy a következő sort hozzáadja a local.rulesfájlhoz.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Miután ez megvan a fájljában, mentse el, és folytassa az olvasást.

Futtassa a tesztet

A következő parancs elindítja a Snort-ot, és "gyors mód" figyelmeztetéseket nyomtat ki, amikor a felhasználó horkant a csoporthorkant alatt, a config segítségével /etc/snort/snort.conf, és figyelni fogja a hálózati interfészen eno1. Át kell váltania eno1arra a hálózati interfészre, amelyet a rendszer hallgat.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Ha már fut, pingelje le a számítógépet. Ekkor megjelenik a kimenet, amely így néz ki:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

A Ctrl+C billentyűkombinációt lenyomva kiléphetünk a programból, és kész. A Snort minden be van állítva. Most bármilyen szabályt használhat, amit akar.

Végül szeretném megjegyezni, hogy van néhány nyilvános szabály, amelyet a közösség hozott létre, amelyeket letölthet a hivatalos oldalról a „Közösség” fül alatt. Keresse meg a "Snort"-ot, majd alatta van egy közösségi hivatkozás. Töltse le, csomagolja ki, és keresse meg a community.rulesfájlt.