Kaip sukonfigūruoti „Snort“ „Debian“.

Snort yra nemokama tinklo įsilaužimo aptikimo sistema (IDS). Mažiau oficialiai tariant, tai leidžia stebėti, ar tinkle nėra įtartinos veiklos realiuoju laiku . Šiuo metu „Snort“ turi „Fedora“, „CentOS“, „FreeBSD“ ir „Windows“ pagrįstų sistemų paketus. Tikslus diegimo metodas skiriasi priklausomai nuo OS. Šioje pamokoje mes įdiegsime tiesiai iš „Snort“ šaltinio failų. Šis vadovas buvo parašytas Debian'ui.

Atnaujinkite, atnaujinkite ir paleiskite iš naujo

Prieš pradėdami naudotis „Snort“ šaltiniais, turime įsitikinti, kad mūsų sistema yra atnaujinta. Tai galime padaryti išleisdami toliau pateiktas komandas.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Iš anksto įdiegta konfigūracija

Kai jūsų sistema bus paleista iš naujo, turime įdiegti keletą paketų, kad įsitikintume, jog galime įdiegti SBPP. Man pavyko išsiaiškinti, kad reikia daug paketų, todėl pagrindinė komanda yra žemiau.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Įdiegę visus paketus turėsite sukurti laikiną šaltinio failų katalogą – jie gali būti bet kur, kur tik norite. Aš naudosiu /usr/src/snort_src. Norėdami sukurti šį aplanką, turėsite būti prisijungę kaip rootvartotojas arba turėti sudoleidimus – tai roottik palengvins.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Duomenų gavimo bibliotekos (DAQ) diegimas

Kad galėtume gauti „Snort“ šaltinį, turime įdiegti DAQ. Tai gana paprasta įdiegti.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Išskleiskite failus iš tarball.

tar xvfz daq-2.0.6.tar.gz

Pakeiskite į DAQ katalogą.

cd daq-2.0.6

Sukonfigūruokite ir įdiekite DAQ.

./configure; make; sudo make install

Paskutinė eilutė bus vykdoma ./configurepirmiausia. Tada jis bus įvykdytas make. Galiausiai jis bus įvykdytas make install. Čia naudojame trumpesnę sintaksę, kad sutaupytume šiek tiek teksto.

„Snort“ diegimas

Norime įsitikinti, kad /usr/src/snort_srcvėl esame kataloge, todėl būtinai pakeiskite jį į šį katalogą naudodami:

cd /usr/src/snort_src

Dabar, kai esame šaltinių kataloge, atsisiųsime tar.gzšaltinio failą. Šio rašymo metu naujausia „Snort“ versija yra 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Komandos iš tikrųjų įdiegti snort yra labai panašios į tas, kurios naudojamos DAQ, tačiau jos turi skirtingas parinktis.

Išskleiskite Snort šaltinio failus.

tar xvfz snort-2.9.8.0.tar.gz

Pakeiskite į šaltinio katalogą.

cd snort-2.9.8.0

Konfigūruokite ir įdiekite šaltinius.

 ./configure --enable-sourcefire; make; sudo make install

Po „Snort“ įdiegimo

Įdiegę „Snort“, turime įsitikinti, kad bendrinamos bibliotekos yra atnaujintos. Tai galime padaryti naudodami komandą:

sudo ldconfig

Kai tai padarysime, išbandykite „Snort“ diegimą:

snort --version

Jei ši komanda neveikia, turėsite sukurti simbolinę nuorodą. Tai galite padaryti įvesdami:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Gauta išvestis bus panaši į:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Atsikratantis Snort

Dabar, kai įdiegėme „snort“, nenorime, kad jis veiktų kaip root, todėl turime sukurti snortvartotoją ir grupę. Norėdami sukurti naują vartotoją ir grupę, galime naudoti šias dvi komandas:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Kadangi programą įdiegėme naudodami šaltinį, turime sukurti konfigūracijos failus ir snort taisykles.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Sukūrę katalogus ir taisykles, dabar turime sukurti žurnalo katalogą.

sudo mkdir /var/log/snort

Ir galiausiai, kad galėtume pridėti kokių nors taisyklių, mums reikia vietos dinaminėms taisyklėms saugoti.

sudo mkdir /usr/local/lib/snort_dynamicrules

Sukūrę visus ankstesnius failus, nustatykite jiems tinkamus leidimus.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Konfigūracijos failų nustatymas

Kad sutaupytumėte daug laiko ir nereikėtų visko kopijuoti ir įklijuoti, tiesiog nukopijuokite visus failus į konfigūracijos katalogą.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Dabar, kai yra konfigūracijos failai, galite atlikti vieną iš dviejų dalykų:

• Galite įjungti „Barnyard2“.
• Arba galite tiesiog palikti konfigūracijos failus ir pasirinktinai įjungti norimas taisykles.

Bet kuriuo atveju jūs vis tiek norėsite pakeisti keletą dalykų. Skaitykite toliau.

Konfigūracija

Į /etc/snort/snort.conffailą, jums reikės pakeisti kintamąjį HOME_NET. Jis turėtų būti nustatytas į jūsų vidinio tinklo IP bloką, kad jis neregistruotų jūsų tinklo bandymų prisijungti prie serverio. Tai gali būti 10.0.0.0/24arba 192.168.0.0/16. 45 eilutėje /etc/snort/snort.confpakeiskite kintamąjį HOME_NETį tą savo tinklo IP bloko reikšmę.

Mano tinkle tai atrodo taip:

ipvar HOME_NET 192.168.0.0/16

Tada turėsite nustatyti EXTERNAL_NETkintamąjį į:

any

Kuris tiesiog virsta tuo, EXERNAL_NETkas tavo HOME_NETnėra.

Taisyklių nustatymas

Dabar, kai sukurta didžioji sistemos dalis, turime sukonfigūruoti savo taisykles šiam mažam kiaulytei. Kažkur maždaug 104 /etc/snort/snort.conffailo eilutėje turėtumėte matyti „var“ deklaraciją ir kintamuosius RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, ir BLACK_LIST_PATH. Jų reikšmės turėtų būti nustatytos į kelius, kuriuos naudojome Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Nustačius šias vertes, ištrinkite arba pakomentuokite dabartines taisykles, pradedant maždaug nuo 548 eilutės.

Dabar patikrinkime, ar jūsų konfigūracija yra teisinga. Galite tai patikrinti naudodami snort.

 # snort -T -c /etc/snort/snort.conf

Pamatysite išvestį, panašią į toliau pateiktą (sutrumpintą).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Dabar, kai viskas sukonfigūruota be klaidų, esame pasirengę pradėti „Snort“ testavimą.

Snort testavimas

Lengviausias būdas išbandyti „Snort“ yra įgalinti local.rules. Tai failas, kuriame yra jūsų tinkintos taisyklės.

Jei snort.conffaile pastebėjote , kažkur apie 546 eilutę, ši eilutė egzistuoja:

include $RULE_PATH/local.rules

Jei jo neturite, pridėkite maždaug 546. Tada galėsite naudoti local.rulesfailą testavimui. Kaip pagrindinį testą, aš tiesiog turiu „Snort“ sekti ping užklausą (ICMP užklausą). Tai galite padaryti pridėdami šią eilutę prie savo local.rulesfailo.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Kai turėsite tai savo faile, išsaugokite jį ir skaitykite toliau.

Vykdykite testą

Ši komanda paleis „Snort“ ir išspausdins „greito režimo“ įspėjimus, kai vartotojas šnairuoja, po grupės „snort“, naudodamas konfigūraciją /etc/snort/snort.conf, ir ji klausys tinklo sąsajoje eno1. Turėsite pakeisti eno1bet kurią tinklo sąsają, kurios klausosi jūsų sistema.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Kai tik jis bus paleistas, ping surinkite tą kompiuterį. Pradėsite matyti išvestį, kuri atrodo taip:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Galite paspausti Ctrl+C, kad išeitumėte iš programos, ir viskas. Snort viskas nustatyta. Dabar galite naudoti bet kokias norimas taisykles.

Galiausiai noriu pažymėti, kad yra keletas viešųjų taisyklių, kurias sukūrė bendruomenė, kurią galite atsisiųsti iš oficialios svetainės skirtuke „Bendruomenė“. Ieškokite „Snort“, tada po juo yra bendruomenės nuoroda. Atsisiųskite jį, išskleiskite ir ieškokite community.rulesfailo.