A Snort egy ingyenes hálózati behatolásérzékelő rendszer (IDS). Kevésbé hivatalos kifejezéssel élve, lehetővé teszi, hogy valós időben figyelje hálózatát gyanús tevékenységekre . A Snort jelenleg Fedora, CentOS, FreeBSD és Windows alapú rendszerekhez rendelkezik csomagokkal. A pontos telepítési mód operációs rendszerenként eltérő. Ebben az oktatóanyagban közvetlenül a Snort forrásfájljaiból fogunk telepíteni. Ez az útmutató a Debian számára készült.
Mielőtt ténylegesen a Snort-forrásokra nyúlnánk, meg kell győződnünk arról, hogy rendszerünk naprakész. Ezt az alábbi parancsok kiadásával tehetjük meg.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
Miután a rendszer újraindult, számos csomagot kell telepítenünk, hogy megbizonyosodjunk arról, hogy tudjuk telepíteni az SBPP-t. Sikerült rájönnöm, hogy néhány csomagra szükség volt, így az alapparancs lent található.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
Miután az összes csomagot telepítette, létre kell hoznia egy ideiglenes könyvtárat a forrásfájlok számára – bárhol lehetnek. Használni fogom /usr/src/snort_src. A mappa létrehozásához be kell jelentkeznie rootfelhasználóként, vagy sudojogosultságokkal kell rendelkeznie – ez rootcsak megkönnyíti.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Mielőtt megszereznénk a Snort forrását, telepítenünk kell a DAQ-t. Telepítése meglehetősen egyszerű.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Bontsa ki a fájlokat a tarballból.
tar xvfz daq-2.0.6.tar.gz
Váltson be a DAQ könyvtárba.
cd daq-2.0.6
Konfigurálja és telepítse a DAQ-t.
./configure; make; sudo make install
Az utolsó sor fog ./configureelőször végrehajtani . Akkor végrehajtja make. Végül azt végrehajtja make install. Itt a rövidebb szintaxist használjuk, csak hogy megspóroljunk egy kicsit a gépelésen.
Szeretnénk megbizonyosodni arról, hogy /usr/src/snort_srcismét a könyvtárban vagyunk , ezért mindenképpen váltson át ebbe a könyvtárba a következőkkel:
cd /usr/src/snort_src
Most, hogy a források könyvtárában vagyunk, letöltjük tar.gza forrás fájlját. Az írás idején a Snort legújabb verziója a 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
A snort tényleges telepítéséhez szükséges parancsok nagyon hasonlóak a DAQ-hoz használt parancsokhoz, de eltérő opciókkal rendelkeznek.
Bontsa ki a Snort forrásfájlokat.
tar xvfz snort-2.9.8.0.tar.gz
Váltson át a forráskönyvtárba.
cd snort-2.9.8.0
Konfigurálja és telepítse a forrásokat.
./configure --enable-sourcefire; make; sudo make install
Miután telepítettük a Snortot, meg kell győződnünk arról, hogy megosztott könyvtáraink naprakészek. Ezt a következő paranccsal tehetjük meg:
sudo ldconfig
Miután ezt megtettük, tesztelje a Snort telepítését:
snort --version
Ha ez a parancs nem működik, létre kell hoznia egy szimbolikus hivatkozást. Ezt a következő beírásával teheti meg:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
Az eredményül kapott kimenet a következőhöz fog hasonlítani:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Most, hogy a snort telepítve van, nem akarjuk, hogy a következő néven fusson root, ezért létre kell hoznunk egy snortfelhasználót és egy csoportot. Új felhasználó és csoport létrehozásához a következő két parancsot használhatjuk:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Mivel a programot a forrás segítségével telepítettük, létre kell hoznunk a konfigurációs fájlokat és a snort szabályait.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
Miután létrehoztuk a könyvtárakat és a szabályokat, létre kell hoznunk a naplókönyvtárat.
sudo mkdir /var/log/snort
És végül, mielőtt bármilyen szabályt hozzáadnánk, szükségünk van egy helyre a dinamikus szabályok tárolására.
sudo mkdir /usr/local/lib/snort_dynamicrules
Miután az összes előző fájlt létrehozta, állítsa be a megfelelő engedélyeket.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Ha sok időt szeretne megtakarítani, és ne kelljen mindent másolni és beilleszteni, egyszerűen másolja be az összes fájlt a konfigurációs könyvtárba.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Most, hogy a konfigurációs fájlok megvannak, két dolgot tehet:
Akárhogy is, néhány dolgon továbbra is változtatni fog. Olvass tovább.
A /etc/snort/snort.conffájlban meg kell változtatnia a változót HOME_NET. A belső hálózat IP-blokkjára kell állítani, hogy ne naplózza a saját hálózatának a szerverre való bejelentkezési kísérleteit. Ez lehet 10.0.0.0/24vagy 192.168.0.0/16. A 45. sorában /etc/snort/snort.confmódosítsa a változót HOME_NETa hálózat IP-blokkjának erre az értékére.
Az én hálózatomon ez így néz ki:
ipvar HOME_NET 192.168.0.0/16
Ezután be kell állítania a EXTERNAL_NETváltozót a következőre:
any
Ami csak EXERNAL_NETazzá változik , ami a HOME_NETtiéd nem.
Most, hogy a rendszer nagy többsége be van állítva, konfigurálnunk kell a szabályainkat ehhez a kis malachoz. Valahol a /etc/snort/snort.conffájl 104. sora környékén látnia kell egy „var” deklarációt és a RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, és változókat BLACK_LIST_PATH. Értékeiket az általunk használt útvonalakra kell beállítani Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Miután beállította ezeket az értékeket, törölje vagy írja megjegyzésbe a jelenlegi szabályokat az 548. sortól kezdve.
Most pedig ellenőrizzük, hogy a konfiguráció helyes-e. Ezzel ellenőrizheti snort.
# snort -T -c /etc/snort/snort.conf
A következőhöz hasonló kimenetet fog látni (a rövidség kedvéért csonkolva).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Most, hogy minden hiba nélkül konfigurálva van, készen állunk a Snort tesztelésének megkezdésére.
A Snort tesztelésének legegyszerűbb módja a local.rules. Ez egy olyan fájl, amely az Ön egyéni szabályait tartalmazza.
Ha észrevette a snort.conffájlban, valahol az 546-os sor környékén ez a sor létezik:
include $RULE_PATH/local.rules
Ha nem rendelkezik vele, kérjük, adja hozzá 546 körül. Ezután használhatja a local.rulesfájlt tesztelésre. Alapvető tesztként csak a Snortnak van szükségem egy ping kérés (ICMP-kérés) nyomon követésére. Ezt úgy teheti meg, hogy a következő sort hozzáadja a local.rulesfájlhoz.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Miután ez megvan a fájljában, mentse el, és folytassa az olvasást.
A következő parancs elindítja a Snort-ot, és "gyors mód" figyelmeztetéseket nyomtat ki, amikor a felhasználó horkant a csoporthorkant alatt, a config segítségével /etc/snort/snort.conf, és figyelni fogja a hálózati interfészen eno1. Át kell váltania eno1arra a hálózati interfészre, amelyet a rendszer hallgat.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
Ha már fut, pingelje le a számítógépet. Ekkor megjelenik a kimenet, amely így néz ki:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
A Ctrl+C billentyűkombinációt lenyomva kiléphetünk a programból, és kész. A Snort minden be van állítva. Most bármilyen szabályt használhat, amit akar.
Végül szeretném megjegyezni, hogy van néhány nyilvános szabály, amelyet a közösség hozott létre, amelyeket letölthet a hivatalos oldalról a „Közösség” fül alatt. Keresse meg a "Snort"-ot, majd alatta van egy közösségi hivatkozás. Töltse le, csomagolja ki, és keresse meg a community.rulesfájlt.
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <>Windows ISO<> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
