Hvernig á að stilla Snort á Debian

Snort er ókeypis innbrotsskynjunarkerfi fyrir netkerfi (IDS). Í minna opinberu skilmálum gerir það þér kleift að fylgjast með netinu þínu fyrir grunsamlegri virkni í rauntíma . Eins og er, er Snort með pakka fyrir Fedora, CentOS, FreeBSD og Windows-undirstaða kerfi. Nákvæm uppsetningaraðferð er mismunandi eftir stýrikerfi. Í þessari kennslu munum við setja upp beint úr frumskrám fyrir Snort. Þessi handbók var skrifuð fyrir Debian.

Uppfærðu, uppfærðu og endurræstu

Áður en við fáum Snort heimildirnar í raun og veru í hendurnar þurfum við að ganga úr skugga um að kerfið okkar sé uppfært. Við getum gert þetta með því að gefa út skipanirnar hér að neðan.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Foruppsetning stillingar

Þegar kerfið þitt hefur endurræst þurfum við að setja upp fjölda pakka til að tryggja að við getum sett upp SBPP. Ég gat komist að því að fjöldi pakka sem þurfti, svo grunnskipunin er hér að neðan.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Þegar allir pakkarnir hafa verið settir upp þarftu að búa til tímabundna möppu fyrir frumskrárnar þínar - þær geta verið hvar sem þú vilt. Ég mun nota /usr/src/snort_src. Til að búa til þessa möppu þarftu að vera skráður inn sem rootnotandi, eða hafa sudoheimildir - rootgerir það bara auðveldara.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Uppsetning gagnaöflunarsafnsins (DAQ)

Áður en við getum fengið upprunann fyrir Snort þurfum við að setja upp DAQ. Það er frekar einfalt í uppsetningu.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Dragðu út skrárnar úr tarballinu.

tar xvfz daq-2.0.6.tar.gz

Skiptu yfir í DAQ skrána.

cd daq-2.0.6

Stilltu og settu upp DAQ.

./configure; make; sudo make install

Þessi síðasta lína mun framkvæma ./configurefyrst. Þá mun það framkvæma make. Að lokum mun það framkvæma make install. Við notum styttri setningafræðina hér bara til að spara aðeins við innslátt.

Er að setja upp Snort

Við viljum vera viss um að við séum aftur í /usr/src/snort_srcmöppunni, svo vertu viss um að skipta yfir í þá möppu með:

cd /usr/src/snort_src

Nú þegar við erum komin í möppuna fyrir heimildirnar munum við hlaða niður tar.gzskránni fyrir upprunann. Þegar þetta er skrifað er nýjasta útgáfan af Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Skipanirnar til að setja upp snort eru mjög svipaðar þeim sem notaðar eru fyrir DAQ, en þær hafa mismunandi valkosti.

Dragðu út Snort frumskrárnar.

tar xvfz snort-2.9.8.0.tar.gz

Breyttu í upprunaskrána.

cd snort-2.9.8.0

Stilltu og settu upp heimildirnar.

 ./configure --enable-sourcefire; make; sudo make install

Eftir uppsetningu á Snort

Þegar við höfum sett upp Snort þurfum við að ganga úr skugga um að sameiginlegu bókasöfnin okkar séu uppfærð. Við getum gert þetta með því að nota skipunina:

sudo ldconfig

Eftir að við höfum gert það skaltu prófa Snort uppsetninguna þína:

snort --version

Ef þessi skipun virkar ekki þarftu að búa til tákntengil. Þú getur gert þetta með því að slá inn:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Úttakið sem myndast mun líkjast eftirfarandi:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Afrætur Snort

Nú þegar við höfum sett upp snort viljum við ekki að það gangi sem root, svo við þurfum að búa til snortnotanda og hóp. Til að búa til nýjan notanda og hóp getum við notað þessar tvær skipanir:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Þar sem við höfum sett upp forritið með því að nota upprunann þurfum við að búa til stillingarskrárnar og reglurnar fyrir snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Eftir að við höfum búið til möppurnar og reglurnar þurfum við nú að búa til annálaskrána.

sudo mkdir /var/log/snort

Og að lokum, áður en við getum bætt við einhverjum reglum, þurfum við stað til að geyma kraftmiklu reglurnar.

sudo mkdir /usr/local/lib/snort_dynamicrules

Þegar allar fyrri skrár hafa verið búnar til skaltu stilla réttar heimildir fyrir þær.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Að setja upp stillingarskrárnar

Til að spara fullt af tíma og forðast að þurfa að afrita og líma allt, skulum bara afrita allar skrárnar í stillingarskrána.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nú þegar stillingarskrárnar eru til staðar geturðu gert eitt af tvennu:

• Þú getur virkjað Barnyard2
• Eða þú getur bara látið stillingarskrárnar í friði og virkjað þær reglur sem óskað er eftir.

Hvort heldur sem er, þú munt samt vilja breyta nokkrum hlutum. Haltu áfram að lesa.

Stillingar

Í /etc/snort/snort.confskránni þarftu að breyta breytunni HOME_NET. Það ætti að vera stillt á IP-blokk innra netkerfis þíns svo það skráir ekki tilraunir þitt eigið net til að skrá þig inn á netþjóninn. Þetta getur verið 10.0.0.0/24eða 192.168.0.0/16. Á línu 45 til að /etc/snort/snort.confbreyta breytunni HOME_NETí það gildi IP blokk netsins þíns.

Á netinu mínu lítur það svona út:

ipvar HOME_NET 192.168.0.0/16

Síðan verður þú að stilla EXTERNAL_NETbreytuna á:

any

Sem breytist bara EXERNAL_NETí það sem þú HOME_NETert ekki.

Að setja reglurnar

Nú þegar mikill meirihluti kerfisins er settur upp þurfum við að stilla reglurnar okkar fyrir þennan litla grís. Einhvers staðar í kringum línu 104 í /etc/snort/snort.confskránni þinni ættir þú að sjá "var" yfirlýsingu og breyturnar RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, og BLACK_LIST_PATH. Gildi þeirra ættu að vera stillt á slóðirnar sem við notuðum í Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Þegar þessi gildi hafa verið stillt skaltu eyða eða skrifa athugasemdir við núverandi reglur sem byrja á um línu 548.

Nú skulum við athuga hvort stillingar þínar séu réttar. Þú getur staðfest það með snort.

 # snort -T -c /etc/snort/snort.conf

Þú munt sjá framleiðsla svipað og eftirfarandi (styttur til styttingar).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nú þegar allt er stillt án villna erum við tilbúin að byrja að prófa Snort.

Er að prófa Snort

Auðveldasta leiðin til að prófa Snort er með því að virkja local.rules. Þetta er skrá sem inniheldur sérsniðnar reglur þínar.

Ef þú hefur tekið eftir því í snort.confskránni, einhvers staðar í kringum línu 546, er þessi lína til:

include $RULE_PATH/local.rules

Ef þú ert ekki með það, vinsamlegast bættu því við í kringum 546. Þú getur síðan notað local.rulesskrána til að prófa. Sem grunnpróf læt ég Snort halda utan um ping beiðni (ICMP beiðni). Þú getur gert það með því að bæta eftirfarandi línu við local.rulesskrána þína.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Þegar þú hefur það í skránni þinni skaltu vista það og halda áfram að lesa.

Keyrðu prófið

Eftirfarandi skipun mun ræsa Snort og prenta "hraðastillingu" viðvaranir, þegar notandinn hrýtur, undir hópsnjótinu, með því að nota config /etc/snort/snort.conf, og það mun hlusta á netviðmótið eno1. Þú þarft að skipta yfir eno1í hvaða netviðmót sem kerfið þitt er að hlusta á.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Þegar þú hefur það í gangi skaltu smella á tölvuna. Þú munt byrja að sjá úttak sem lítur út eins og eftirfarandi:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Þú getur ýtt á Ctrl+C til að hætta í forritinu, og það er það. Snort er allt sett upp. Þú getur nú notað hvaða reglur sem þú vilt.

Að lokum vil ég hafa í huga að það eru nokkrar opinberar reglur sem samfélagið hefur sett fram sem þú getur halað niður af opinberu síðunni undir flipanum „Samfélag“. Leitaðu að „Snort“, svo rétt undir því er samfélagshlekkur. Sæktu það, dragðu það út og leitaðu að community.rulesskránni.