Kā konfigurēt Snort vietnē Debian

Snort ir bezmaksas tīkla ielaušanās noteikšanas sistēma (IDS). Mazāk oficiāli runājot, tas ļauj reāllaikā pārraudzīt, vai tīklā nav konstatētas aizdomīgas darbības . Pašlaik Snort ir pakotnes Fedora, CentOS, FreeBSD un Windows sistēmām. Precīza instalēšanas metode dažādās operētājsistēmās ir atšķirīga. Šajā apmācībā mēs instalēsim tieši no Snort avota failiem. Šī rokasgrāmata tika rakstīta Debian.

Atjaunināšana, jaunināšana un atsāknēšana

Pirms mēs sākam izmantot Snort avotus, mums ir jāpārliecinās, vai mūsu sistēma ir atjaunināta. Mēs to varam izdarīt, izdodot tālāk norādītās komandas.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Iepriekšinstalēšanas konfigurācija

Kad sistēma ir atsāknēta, mums ir jāinstalē vairākas pakotnes, lai pārliecinātos, ka varam instalēt SBPP. Es varēju noskaidrot, ka vairākas nepieciešamās pakotnes, tāpēc zemāk ir pamata komanda.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Kad visas pakotnes ir instalētas, jums būs jāizveido pagaidu direktorijs avota failiem — tie var atrasties jebkur, kur vēlaties. Es izmantošu /usr/src/snort_src. Lai izveidotu šo mapi, jums ir jāpiesakās kā rootlietotājam vai ir jābūt sudoatļaujām — tas roottikai atvieglo.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Datu iegūšanas bibliotēkas (DAQ) instalēšana

Lai mēs varētu iegūt Snort avotu, mums ir jāinstalē DAQ. Tas ir diezgan vienkārši uzstādāms.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Izvelciet failus no tarbola.

tar xvfz daq-2.0.6.tar.gz

Pārejiet uz DAQ direktoriju.

cd daq-2.0.6

Konfigurējiet un instalējiet DAQ.

./configure; make; sudo make install

Šī pēdējā rindiņa tiks izpildīta ./configurepirmā. Tad tas tiks izpildīts make. Visbeidzot, tas tiks izpildīts make install. Šeit mēs izmantojam īsāko sintaksi, lai nedaudz ietaupītu rakstīšanas laiku.

Snort instalēšana

Mēs vēlamies pārliecināties, ka /usr/src/snort_srcatkal atrodamies direktorijā, tāpēc noteikti pārejiet uz šo direktoriju, izmantojot:

cd /usr/src/snort_src

Tagad, kad esam avotu direktorijā, mēs lejupielādēsim tar.gzavota failu. Šīs rakstīšanas laikā jaunākā Snort versija ir 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Komandas, lai faktiski instalētu snort, ir ļoti līdzīgas tām, kas tiek izmantotas DAQ, taču tām ir dažādas iespējas.

Izvelciet Snort avota failus.

tar xvfz snort-2.9.8.0.tar.gz

Mainiet uz avota direktoriju.

cd snort-2.9.8.0

Konfigurējiet un instalējiet avotus.

 ./configure --enable-sourcefire; make; sudo make install

Pēc Snort instalēšanas

Kad Snort ir instalēts, mums ir jāpārliecinās, vai mūsu koplietojamās bibliotēkas ir atjauninātas. Mēs to varam izdarīt, izmantojot komandu:

sudo ldconfig

Pēc tam pārbaudiet savu Snort instalāciju:

snort --version

Ja šī komanda nedarbojas, jums būs jāizveido simboliskā saite. To var izdarīt, ierakstot:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Iegūtā izvade būs līdzīga šādai:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Snort atcelšana

Tagad, kad esam instalējuši snort, mēs nevēlamies, lai tas darbotos kā root, tāpēc mums ir jāizveido snortlietotājs un grupa. Lai izveidotu jaunu lietotāju un grupu, mēs varam izmantot šīs divas komandas:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Tā kā mēs esam instalējuši programmu, izmantojot avotu, mums ir jāizveido konfigurācijas faili un snort noteikumi.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Kad esam izveidojuši direktorijus un noteikumus, mums tagad ir jāizveido žurnāla direktorijs.

sudo mkdir /var/log/snort

Un visbeidzot, pirms mēs varam pievienot noteikumus, mums ir nepieciešama vieta, kur glabāt dinamiskos noteikumus.

sudo mkdir /usr/local/lib/snort_dynamicrules

Kad visi iepriekšējie faili ir izveidoti, iestatiet tiem atbilstošās atļaujas.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Konfigurācijas failu iestatīšana

Lai ietaupītu daudz laika un nevajadzētu visu kopēt un ielīmēt, vienkārši kopējiet visus failus konfigurācijas direktorijā.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Tagad, kad ir pieejami konfigurācijas faili, varat veikt vienu no divām darbībām:

• Varat iespējot Barnyard2
• Vai arī varat vienkārši atstāt konfigurācijas failus atsevišķi un selektīvi iespējot vajadzīgos noteikumus.

Jebkurā gadījumā jūs joprojām vēlaties mainīt dažas lietas. Turpiniet lasīt.

Konfigurācija

Šajā /etc/snort/snort.conffailā, jums būs nepieciešams, lai mainītu mainīgo HOME_NET. Tam jābūt iestatītam uz jūsu iekšējā tīkla IP bloku, lai tas nereģistrētu jūsu tīkla mēģinājumus pieteikties serverī. Tas var būt 10.0.0.0/24vai 192.168.0.0/16. 45. rindā /etc/snort/snort.confmainiet mainīgo HOME_NETuz šo sava tīkla IP bloka vērtību.

Manā tīklā tas izskatās šādi:

ipvar HOME_NET 192.168.0.0/16

Pēc tam EXTERNAL_NETmainīgais būs jāiestata uz:

any

Kas vienkārši pārvēršas EXERNAL_NETpar to, kas tavs HOME_NETnav.

Noteikumu noteikšana

Tagad, kad lielākā daļa sistēmas ir iestatīta, mums ir jākonfigurē savi noteikumi šim mazajam cūciņam. Kaut kur ap 104. rindiņu /etc/snort/snort.conffailā vajadzētu redzēt "var" deklarāciju un mainīgos RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, un BLACK_LIST_PATH. To vērtības ir jāiestata atbilstoši ceļiem, ko izmantojām Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Kad šīs vērtības ir iestatītas, dzēsiet vai komentējiet pašreizējos noteikumus, sākot ar aptuveni 548. rindu.

Tagad pārbaudīsim, vai konfigurācija ir pareiza. Jūs varat to pārbaudīt ar snort.

 # snort -T -c /etc/snort/snort.conf

Jūs redzēsit izvadi, kas ir līdzīga tālāk norādītajai (īsuma labad saīsināta).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Tagad, kad viss ir konfigurēts bez kļūdām, esam gatavi sākt Snort testēšanu.

Snort testēšana

Vienkāršākais veids, kā pārbaudīt Snort, ir iespējot local.rules. Šis ir fails, kurā ir jūsu pielāgotie noteikumi.

Ja snort.conffailā kaut kur ap 546. rindu esat pamanījis , šī rinda pastāv:

include $RULE_PATH/local.rules

Ja jums tā nav, lūdzu, pievienojiet to apmēram 546. Pēc tam varat izmantot local.rulesfailu testēšanai. Kā pamata pārbaude man vienkārši ir Snort, kas seko līdzi ping pieprasījumam (ICMP pieprasījums). To var izdarīt, pievienojot local.rulesfailam šādu rindiņu .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Kad tas ir failā, saglabājiet to un turpiniet lasīt.

Palaidiet testu

Šī komanda sāks Snort un izdrukās "ātrā režīma" brīdinājumus, kad lietotājs šņāc, zem grupas šņākšanas, izmantojot konfigurāciju /etc/snort/snort.conf, un tā klausīsies tīkla saskarnē eno1. Jums būs jāmaina eno1uz jebkuru tīkla interfeisu, kuru jūsu sistēma klausās.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Kad tas ir palaista, piesūtiet tam datoram ping. Jūs sāksit redzēt izvadi, kas izskatās šādi:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Varat nospiest Ctrl+C, lai izietu no programmas, un viss. Snort viss ir iestatīts. Tagad varat izmantot jebkurus noteikumus, ko vēlaties.

Visbeidzot, es vēlos atzīmēt, ka ir daži publiski noteikumi, ko izstrādājusi kopiena, kuru varat lejupielādēt no oficiālās vietnes cilnē "Kopiena". Meklējiet "Snort", tad tieši zem tā ir kopienas saite. Lejupielādējiet to, izvelciet to un meklējiet community.rulesfailu.