Снорт је бесплатан систем за откривање упада у мрежу (ИДС). Мање званичним речима, омогућава вам да надгледате своју мрежу у потрази за сумњивим активностима у реалном времену . Тренутно, Снорт има пакете за Федора, ЦентОС, ФрееБСД и Виндовс системе. Тачан начин инсталације варира између ОС-а. У овом водичу ћемо инсталирати директно из изворних датотека за Снорт. Овај водич је написан за Дебиан.
Пре него што се заиста дочепамо извора Снорт-а, морамо да се уверимо да је наш систем ажуриран. То можемо да урадимо издавањем наредби испод.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
Када се ваш систем поново покрене, морамо да инсталирамо неколико пакета да бисмо били сигурни да можемо да инсталирамо СБПП. Успео сам да схватим да је неколико пакета било потребно, тако да је основна команда испод.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
Када се инсталирају сви пакети, мораћете да креирате привремени директоријум за своје изворне датотеке – оне могу бити где год желите. Ја ћу користити /usr/src/snort_src. Да бисте креирали ову фасциклу, мораћете да будете пријављени као rootкорисник или да имате sudoдозволе - rootсамо то олакшава.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Пре него што добијемо извор за Снорт, морамо да инсталирамо ДК. Прилично је једноставан за инсталацију.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Извуците датотеке из тарбалл-а.
tar xvfz daq-2.0.6.tar.gz
Пређите у ДАК директоријум.
cd daq-2.0.6
Конфигуришите и инсталирајте ДАК.
./configure; make; sudo make install
Тај последњи ред ће се ./configureпрви извршити . Затим ће се извршити make. На крају, извршиће се make install. Овде користимо краћу синтаксу само да бисмо уштедели мало на куцању.
Желимо да будемо сигурни да смо поново у /usr/src/snort_srcдиректоријуму, па се обавезно пребаците у тај директоријум са:
cd /usr/src/snort_src
Сада када смо у директоријуму за изворе, ми ћемо преузети tar.gzдатотеку за извор. У време писања овог текста, најновија верзија Снорт-а је 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
Команде за стварно инсталирање снорт-а су веома сличне онима које се користе за ДК, али имају различите опције.
Извуците изворне датотеке Снорт-а.
tar xvfz snort-2.9.8.0.tar.gz
Пређите у изворни директоријум.
cd snort-2.9.8.0
Конфигуришите и инсталирајте изворе.
./configure --enable-sourcefire; make; sudo make install
Када инсталирамо Снорт, морамо да се уверимо да су наше заједничке библиотеке ажурне. То можемо урадити помоћу команде:
sudo ldconfig
Након што то урадимо, тестирајте своју Снорт инсталацију:
snort --version
Ако ова команда не ради, мораћете да креирате симболичку везу. То можете да урадите тако што ћете откуцати:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
Резултат ће бити сличан следећем:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Сада када смо инсталирали снорт, не желимо да ради као root, тако да морамо да креирамо snortкорисника и групу. Да бисмо креирали новог корисника и групу, можемо користити ове две команде:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Пошто смо програм инсталирали користећи изворни код, потребно је да креирамо конфигурационе датотеке и правила за снорт.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
Након што креирамо директоријуме и правила, сада треба да креирамо директоријум дневника.
sudo mkdir /var/log/snort
И на крају, пре него што можемо да додамо било које правило, потребно нам је место за складиштење динамичких правила.
sudo mkdir /usr/local/lib/snort_dynamicrules
Када се креирају све претходне датотеке, поставите одговарајуће дозволе за њих.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Да бисте уштедели гомилу времена и да не морате све да копирате и налепите, дозволите само да копирате све датотеке у конфигурациони директоријум.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Сада када су конфигурационе датотеке ту, можете да урадите једну од две ствари:
У сваком случају, и даље ћете желети да промените неколико ствари. Настави да читаш.
У /etc/snort/snort.confдатотеци ћете морати да промените променљиву HOME_NET. Требало би да буде подешен на ИП блок ваше интерне мреже тако да неће евидентирати покушаје ваше сопствене мреже да се пријави на сервер. Ово може бити 10.0.0.0/24или 192.168.0.0/16. У реду 45 /etc/snort/snort.confпромените променљиву HOME_NETна ту вредност ИП блока ваше мреже.
На мојој мрежи то изгледа овако:
ipvar HOME_NET 192.168.0.0/16
Затим ћете морати да подесите EXTERNAL_NETпроменљиву на:
any
Што се само претвара EXERNAL_NETу оно што HOME_NETнисте.
Сада када је велика већина система постављена, морамо да конфигуришемо наша правила за ово мало прасе. Негде око линија 104 у својој /etc/snort/snort.confдатотеци, требало би да видите "вар" декларација и променљиве RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, и BLACK_LIST_PATH. Њихове вредности треба да буду постављене на путање које смо користили у Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Када се те вредности поставе, избришите или коментаришите тренутна правила почевши од реда 548.
Сада, хајде да проверимо да ли је ваша конфигурација исправна. Можете то проверити са snort.
# snort -T -c /etc/snort/snort.conf
Видећете излаз сличан следећем (скраћен ради краткоће).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Сада када је све конфигурисано без грешака, спремни смо да почнемо да тестирамо Снорт.
Најлакши начин да тестирате Снорт је омогућавање local.rules. Ово је датотека која садржи ваша прилагођена правила.
Ако сте приметили у snort.confдатотеци, негде око реда 546, постоји овај ред:
include $RULE_PATH/local.rules
Ако га немате, додајте га око 546. Затим можете користити local.rulesдатотеку за тестирање. Као основни тест, само имам Снорт да прати пинг захтев (ИЦМП захтев). То можете учинити додавањем следећег реда у своју local.rulesдатотеку.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
Када то будете имали у свом фајлу, сачувајте га и наставите да читате.
Следећа команда ће покренути Снорт и одштампати упозорења „брзог режима“, док корисник шмрка, под групним снортом, користећи конфигурацију /etc/snort/snort.conf, и она ће слушати на мрежном интерфејсу eno1. Мораћете да пређете eno1на било који мрежни интерфејс који ваш систем слуша.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
Када га покренете, пингујте тај рачунар. Почећете да видите излаз који изгледа овако:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
Можете притиснути Цтрл+Ц да изађете из програма и то је то. Снорт је спреман. Сада можете користити било која правила која желите.
На крају, желим да напоменем да постоје нека јавна правила које је направила заједница која можете преузети са званичног сајта под картицом „Заједница“. Потражите "Снорт", а затим одмах испод тога постоји веза са заједницом. Преузмите то, распакујте га и потражите community.rulesдатотеку.
Вештачка интелигенција није у будућности, она је овде управо у садашњости. У овом блогу Прочитајте како су апликације вештачке интелигенције утицале на различите секторе.
Да ли сте и ви жртва ДДОС напада и збуњени сте методама превенције? Прочитајте овај чланак да бисте решили своја питања.
Можда сте чули да хакери зарађују много новца, али да ли сте се икада запитали како зарађују толики новац? Хајде да причамо.
Да ли желите да видите револуционарне изуме Гугла и како су ти изуми променили живот сваког људског бића данас? Затим читајте на блогу да бисте видели Гооглеове изуме.
Концепт самовозећих аутомобила који путују на путеве уз помоћ вештачке интелигенције је сан који већ неко време имамо. Али упркос неколико обећања, њих нема нигде. Прочитајте овај блог да сазнате више…
Како се наука развија великом брзином, преузимајући многе наше напоре, расте и ризик да се подвргнемо необјашњивој сингуларности. Прочитајте шта би сингуларност могла да значи за нас.
Прочитајте блог да бисте на најједноставнији начин упознали различите слојеве у архитектури великих података и њихове функционалности.
Методе складиштења података су се развијале можда од рођења података. Овај блог покрива еволуцију складиштења података на основу инфографике.
У овом дигиталном свету, паметни кућни уређаји постали су кључни део живота. Ево неколико невероватних предности паметних кућних уређаја о томе како они чине наш живот вредним живљења и једноставнијим.
Недавно је Аппле издао мацОС Цаталина 10.15.4 додатак за исправку проблема, али изгледа да ажурирање изазива више проблема који доводе до квара Мац машина. Прочитајте овај чланак да бисте сазнали више
