Ako nakonfigurovať Snort v Debiane

Snort je bezplatný systém detekcie narušenia siete (IDS). Menej oficiálne povedané, umožňuje vám v reálnom čase monitorovať podozrivú aktivitu vo vašej sieti . V súčasnosti má Snort balíčky pre systémy Fedora, CentOS, FreeBSD a Windows. Presný spôsob inštalácie sa medzi operačnými systémami líši. V tomto návode budeme inštalovať priamo zo zdrojových súborov pre Snort. Táto príručka bola napísaná pre Debian.

Aktualizácia, inovácia a reštart

Predtým, než sa skutočne dostaneme k zdrojom Snort, musíme sa uistiť, že náš systém je aktuálny. Môžeme to urobiť zadaním príkazov nižšie.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Predinštalačná konfigurácia

Keď sa váš systém reštartuje, musíme nainštalovať niekoľko balíkov, aby sme sa uistili, že môžeme nainštalovať SBPP. Podarilo sa mi zistiť, že niekoľko balíkov bolo potrebných, takže základný príkaz je uvedený nižšie.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Po nainštalovaní všetkých balíkov budete musieť vytvoriť dočasný adresár pre vaše zdrojové súbory – môžu byť kdekoľvek chcete. budem používať /usr/src/snort_src. Ak chcete vytvoriť tento priečinok, musíte byť prihlásení ako rootpoužívateľ alebo mať sudopovolenia – rootlen to uľahčuje.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Inštalácia knižnice na získavanie údajov (DAQ)

Predtým, ako získame zdroj pre Snort, musíme nainštalovať DAQ. Inštalácia je pomerne jednoduchá.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrahujte súbory z tarballu.

tar xvfz daq-2.0.6.tar.gz

Prejdite do adresára DAQ.

cd daq-2.0.6

Nakonfigurujte a nainštalujte DAQ.

./configure; make; sudo make install

Posledný riadok sa vykoná ako ./configureprvý. Potom sa vykoná make. Nakoniec sa vykoná make install. Používame tu kratšiu syntax, len aby sme trochu ušetrili na písaní.

Inštaluje sa Snort

Chceme sa uistiť, že sme /usr/src/snort_srcznova v adresári, takže sa nezabudnite do tohto adresára zmeniť pomocou:

cd /usr/src/snort_src

Teraz, keď sme v adresári pre zdroje, stiahneme tar.gzsúbor pre zdroj. V čase písania tohto článku je najnovšia verzia Snortu 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Príkazy na skutočnú inštaláciu snortu sú veľmi podobné tým, ktoré sa používajú pre DAQ, ale majú rôzne možnosti.

Rozbaľte zdrojové súbory Snort.

tar xvfz snort-2.9.8.0.tar.gz

Prejdite do zdrojového adresára.

cd snort-2.9.8.0

Nakonfigurujte a nainštalujte zdroje.

 ./configure --enable-sourcefire; make; sudo make install

Po inštalácii Snortu

Keď máme nainštalovaný Snort, musíme sa uistiť, že naše zdieľané knižnice sú aktuálne. Môžeme to urobiť pomocou príkazu:

sudo ldconfig

Keď to urobíme, otestujte svoju inštaláciu Snort:

snort --version

Ak tento príkaz nefunguje, budete musieť vytvoriť symbolický odkaz. Môžete to urobiť zadaním:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Výsledný výstup bude vyzerať takto:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Un-rooting Snort

Teraz, keď máme nainštalovaný Snort, nechceme, aby bežal ako root, takže musíme vytvoriť snortpoužívateľa a skupinu. Na vytvorenie nového používateľa a skupiny môžeme použiť tieto dva príkazy:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Keďže sme program nainštalovali pomocou zdrojového kódu, musíme vytvoriť konfiguračné súbory a pravidlá pre snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Keď vytvoríme adresáre a pravidlá, musíme teraz vytvoriť adresár protokolu.

sudo mkdir /var/log/snort

A nakoniec, predtým, než budeme môcť pridať nejaké pravidlá, potrebujeme miesto na uloženie dynamických pravidiel.

sudo mkdir /usr/local/lib/snort_dynamicrules

Po vytvorení všetkých predchádzajúcich súborov nastavte pre ne správne povolenia.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Nastavenie konfiguračných súborov

Aby ste ušetrili veľa času a nemuseli všetko kopírovať a prilepovať, stačí skopírovať všetky súbory do konfiguračného adresára.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Teraz, keď sú tam konfiguračné súbory, môžete urobiť jednu z dvoch vecí:

• Môžete povoliť Barnyard2
• Alebo môžete jednoducho nechať konfiguračné súbory na pokoji a selektívne povoliť požadované pravidlá.

Tak či onak, stále budete chcieť zmeniť pár vecí. Pokračujte v čítaní.

Konfigurácia

In the /etc/snort/snort.conf file, you will need to change the variable HOME_NET. It should be set to your internal network's IP block so it won't log your own network's attempts to log into the server. This may be 10.0.0.0/24 or 192.168.0.0/16. On line 45 of /etc/snort/snort.conf change the variable HOME_NET to that value of your network's IP block.

On my network, it looks like this:

ipvar HOME_NET 192.168.0.0/16

Then, you'll have to set the EXTERNAL_NET variable to:

any

Which just turns EXERNAL_NET into whatever your HOME_NET is not.

Setting the rules

Teraz, keď je nastavená veľká väčšina systému, musíme nakonfigurovať pravidlá pre toto malé prasiatko. Niekde okolo linka 104 vo svojom /etc/snort/snort.confsúbore, mali by ste vidieť "var" vyhlásenie a premenné RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATHa BLACK_LIST_PATH. Ich hodnoty by mali byť nastavené na cesty, ktoré sme použili v Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Keď sú tieto hodnoty nastavené, vymažte alebo okomentujte aktuálne pravidlá od riadku 548.

Teraz skontrolujte, či je vaša konfigurácia správna. Môžete si to overiť pomocou snort.

 # snort -T -c /etc/snort/snort.conf

Uvidíte výstup podobný nasledujúcemu (skrátený kvôli stručnosti).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Teraz, keď je všetko nakonfigurované bez chýb, sme pripravení začať testovať Snort.

Testovanie Snortu

Najjednoduchší spôsob, ako otestovať Snort, je povoliť local.rules. Toto je súbor, ktorý obsahuje vaše vlastné pravidlá.

Ak ste si v snort.confsúbore všimli , niekde okolo riadku 546, tento riadok existuje:

include $RULE_PATH/local.rules

Ak ho nemáte, pridajte ho okolo čísla 546. Potom môžete local.rulessúbor použiť na testovanie. Ako základný test mám práve Snort, aby sledoval žiadosť o ping (ICMP žiadosť). Môžete to urobiť pridaním nasledujúceho riadku do local.rulessúboru.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Keď to budete mať vo svojom súbore, uložte ho a pokračujte v čítaní.

Spustite test

Nasledujúci príkaz spustí Snort a vytlačí upozornenia „rýchleho režimu“, keď si používateľ odfrkne, pod skupinovým snortom pomocou konfigurácie /etc/snort/snort.confa bude počúvať na sieťovom rozhraní eno1. Budete musieť prejsť eno1na akékoľvek sieťové rozhranie, na ktorom váš systém počúva.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Keď to máte spustené, pingnite na tento počítač. Začnete vidieť výstup, ktorý vyzerá takto:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Program môžete ukončiť stlačením Ctrl+C a je to. Snort je nastavený. Teraz môžete použiť akékoľvek pravidlá, ktoré chcete.

Nakoniec chcem poznamenať, že existujú určité verejné pravidlá vytvorené komunitou, ktoré si môžete stiahnuť z oficiálnej stránky na karte „Komunita“. Hľadajte „Snort“, potom hneď pod tým je odkaz na komunitu. Stiahnite si to, rozbaľte a vyhľadajte community.rulessúbor.