Як налаштувати Snort на Debian

Snort — це безкоштовна система виявлення вторгнення в мережу (IDS). Менш офіційними словами, це дозволяє відстежувати свою мережу на предмет підозрілої активності в режимі реального часу . Наразі Snort має пакети для систем на базі Fedora, CentOS, FreeBSD та Windows. Точний спосіб встановлення залежить від ОС. У цьому підручнику ми будемо встановлювати Snort безпосередньо з вихідних файлів. Цей посібник був написаний для Debian.

Оновлення, оновлення та перезавантаження

Перш ніж ми дійсно отримаємо джерела Snort, нам потрібно переконатися, що наша система оновлена. Ми можемо зробити це, виконавши наведені нижче команди.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Конфігурація перед встановленням

Після перезавантаження системи нам потрібно встановити ряд пакетів, щоб переконатися, що ми можемо встановити SBPP. Мені вдалося з’ясувати, що потрібна низка пакетів, тому базова команда наведена нижче.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Після встановлення всіх пакетів вам потрібно буде створити тимчасовий каталог для вихідних файлів – вони можуть бути де завгодно. Я буду використовувати /usr/src/snort_src. Щоб створити цю папку, вам потрібно ввійти в систему як rootкористувач або мати sudoдозволи – це rootлише полегшить роботу.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Встановлення бібліотеки збору даних (DAQ)

Перш ніж ми зможемо отримати джерело для Snort, нам потрібно встановити DAQ. Його досить просто встановити.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Розпакуйте файли з архіву.

tar xvfz daq-2.0.6.tar.gz

Перейдіть у каталог DAQ.

cd daq-2.0.6

Налаштуйте та встановіть DAQ.

./configure; make; sudo make install

Цей останній рядок буде виконано ./configureпершим. Тоді він буде виконуватися make. Нарешті, він буде виконуватися make install. Ми використовуємо тут короткий синтаксис, щоб трохи заощадити на наборі тексту.

Встановлення Snort

Ми хочемо переконатися, що ми знову в /usr/src/snort_srcкаталозі, тому не забудьте перейти в цей каталог за допомогою:

cd /usr/src/snort_src

Тепер, коли ми перебуваємо в каталозі джерел, ми завантажимо tar.gzфайл для джерела. На момент написання цієї статті найновішою версією Snort є 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Команди для фактичного встановлення snort дуже схожі на ті, що використовуються для DAQ, але вони мають різні варіанти.

Розпакуйте вихідні файли Snort.

tar xvfz snort-2.9.8.0.tar.gz

Перейдіть у вихідний каталог.

cd snort-2.9.8.0

Налаштуйте та встановіть джерела.

 ./configure --enable-sourcefire; make; sudo make install

Після встановлення Snort

Після встановлення Snort нам потрібно переконатися, що наші спільні бібліотеки оновлені. Ми можемо це зробити за допомогою команди:

sudo ldconfig

Після цього перевірте вашу інсталяцію Snort:

snort --version

Якщо ця команда не працює, вам потрібно буде створити символічне посилання. Ви можете зробити це, ввівши:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Отриманий результат буде нагадувати наступне:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Відновлення Snort

Тепер, коли ми встановили snort, ми не хочемо, щоб він працював як root, тому нам потрібно створити snortкористувача та групу. Щоб створити нового користувача та групу, ми можемо використовувати ці дві команди:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Оскільки ми встановили програму за допомогою вихідного коду, нам потрібно створити файли конфігурації та правила для snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Після створення каталогів і правил нам потрібно створити каталог журналів.

sudo mkdir /var/log/snort

І нарешті, перш ніж ми зможемо додати будь-які правила, нам потрібно місце для зберігання динамічних правил.

sudo mkdir /usr/local/lib/snort_dynamicrules

Після створення всіх попередніх файлів установіть для них належні дозволи.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Налаштування файлів конфігурації

Щоб заощадити купу часу та уникнути необхідності копіювати та вставляти все, дозвольте просто скопіювати всі файли в каталог конфігурації.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Тепер, коли файли конфігурації є, ви можете зробити одну з двох речей:

• Ви можете ввімкнути Barnyard2
• Або ви можете просто залишити файли конфігурації в спокої та вибірково ввімкнути потрібні правила.

У будь-якому випадку, ви все одно захочете змінити деякі речі. Продовжуйте читати.

Конфігурація

У /etc/snort/snort.confфайлі вам потрібно буде змінити змінну HOME_NET. Його слід встановити на IP-блок вашої внутрішньої мережі, щоб він не реєстрував спроби вашої власної мережі увійти на сервер. Це може бути 10.0.0.0/24або 192.168.0.0/16. У рядку 45 /etc/snort/snort.confзмініть змінну HOME_NETна це значення блоку IP вашої мережі.

У моїй мережі це виглядає так:

ipvar HOME_NET 192.168.0.0/16

Потім вам потрібно буде встановити EXTERNAL_NETзмінну на:

any

Що просто перетворюється EXERNAL_NETна те, чим ти HOME_NETне є.

Встановлення правил

Тепер, коли переважна більшість системи налаштована, нам потрібно налаштувати наші правила для цього маленького порося. Де - то близько лінії 104 в вашому /etc/snort/snort.confфайлі, ви повинні побачити «вар» декларації і змінні RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, і BLACK_LIST_PATH. Їх значення мають бути встановлені на шляхи, які ми використовували в Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Після встановлення цих значень видаліть або прокоментуйте поточні правила, починаючи приблизно з рядка 548.

Тепер давайте перевіримо, чи ваша конфігурація правильна. Ви можете перевірити це за допомогою snort.

 # snort -T -c /etc/snort/snort.conf

Ви побачите вихід, подібний до наступного (урізаний для стислості).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Тепер, коли все налаштовано без помилок, ми готові приступити до тестування Snort.

Тестування Snort

Найпростіший спосіб перевірити Snort – увімкнути local.rules. Це файл, який містить ваші власні правила.

Якщо ви помітили у snort.confфайлі, десь біля рядка 546, існує такий рядок:

include $RULE_PATH/local.rules

Якщо у вас його немає, додайте його близько 546. Потім ви можете використовувати local.rulesфайл для тестування. Як базовий тест, у мене просто є Snort, який відстежує запит ping (запит ICMP). Ви можете зробити це, додавши наступний рядок до свого local.rulesфайлу.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Після того, як ви отримаєте це у вашому файлі, збережіть його та продовжуйте читати.

Виконайте тест

Наступна команда запускає Snort і друкує сповіщення про «швидкий режим», коли користувач нюхає під групою snort, використовуючи конфігурацію /etc/snort/snort.conf, і слухатиме мережевий інтерфейс eno1. Вам потрібно буде перейти eno1на будь-який мережевий інтерфейс, який прослуховує ваша система.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Після того, як ви запустите його, виконайте ping на цьому комп’ютері. Ви почнете бачити вихід, який виглядає наступним чином:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Ви можете натиснути Ctrl+C, щоб вийти з програми, і все. Snort все налаштовано. Тепер ви можете використовувати будь-які правила, які забажаєте.

Наостанок хочу зазначити, що існують деякі загальнодоступні правила, створені спільнотою, які ви можете завантажити з офіційного сайту у вкладці «Спільнота». Шукайте «Snort», тоді якраз під цим посилання на спільноту. Завантажте його, розпакуйте та знайдіть community.rulesфайл.