Konfigurer snort ID -er og opprett regler
Snort er et open source inntrengingsdeteksjonssystem (IDS) for nettverksovervåking. Ved å lese denne opplæringen lærer du hvordan du installerer Snort både på Debian og Centos og setter opp en tilpasset snortkonfigurasjon og regler.
Dette dokumentet inneholder real scenario angrepsdeteksjon.
Alle forklaringer i denne opplæringen inkluderer ekte screenshots for ekte scenario, noe som gjør det enkelt for enhver Linux -bruker å forstå hvordan Snort fungerer uavhengig av hans ekspertisenivå.
Installere snort (Debian)
Denne delen forklarer hvordan du installerer Snort på Debian-baserte systemer først; Etter Debian installasjonsinstruksjoner, finner du trinn for å installere den på CentOS.
Før du installerer Snort på Debian-baserte Linux-distribusjoner, oppdater systemlageret ditt ved å kjøre følgende kommando:
sudo apt-get oppdatering
Etter å ha oppdatert depoter, installerer du snort ved hjelp av følgende kommando:
sudo apt install snort -y
Installasjonsprosessen vil informere deg om at syntaks for å definere nettverksadresser i konfigurasjonsfilen er CIDR (klasseløs inter-domene-ruting). trykk TAST INN å fortsette med installasjonen.
Installasjonsprogrammet vil automatisk oppdage nettverksstrukturen din. I dette trinnet, sjekk om deteksjonen er riktig og fikser den om nødvendig. Trykk deretter TAST INN.
Etter å ha trykket TAST INN, installasjonen vil konkludere.
Installere snort (centos)
For å installere snort på centos, last ned den siste snorten Rpm pakke for centos på https: // www.snort.org/nedlastinger#snort-downloads.
Kjør deretter følgende kommando, hvor <Versjon> Må erstattes med Snort -versjonen du lastet ned fra forrige lenke:
sudo yum snort-.Rpm
Viktig for Debian -brukere
Debian Linux overskriver noen alternativer relatert til nettverksinnstillinger i Snort standardkonfigurasjonsfilen. Omskrivingsalternativer hentes fra OS. Under innstillinger for snortkatalogen er det /etc/snort/snort.Debian.konf fil der Debian nettverksinnstillinger importeres.
Derfor, hvis du bruker Debian først, åpner du /etc/snort/snort.Debian.konf Fil for å sjekke konfigurasjonsfilen og redigere den om nødvendig, ved å bruke følgende kommando:
sudo nano/etc/snort/snort.Debian.konf
Som du kan se, er i mitt tilfelle standardkonfigurasjonen som er hentet fra operativsystemet riktig.
Merk: Hvis nettverksinnstillinger ikke stemmer i ditt tilfelle, kjør Sudo DPKG-Rekonfigurer
Hvis innstillingene dine er riktige, trykk Ctrl+q å slutte.
Konfigurere snort
Denne delen inneholder instruksjoner for den første snortkonfigurasjonen.
For å konfigurere snort, åpne /etc/snort/snort.konf Bruke Nano, VI eller hvilken som helst tekstredigerer.
sudo nano/etc/snort/snort.konf
Inne i konfigurasjonsfilen, finn følgende linje:
ipvar home_net noen
Du kan legge til nettverk eller spesifikke IP -adresser. For å legge til nettverket ditt, bytt ut linjen med følgende, der x.x.x.x/x må erstattes med en CIDR -adresse:
ipvar home_net x.x.x.x/x
I mitt tilfelle erstatter jeg den linjen med følgende:
IPVAR Home_net 192.168.0.0/16
Men hvis du vil legge til spesifikke IP -adresser, vises syntaksen nedenfor, hvor 192.168.0.3, 10.0.0.4 og 192.168.1.3 må erstattes med IP -adressene som skal overvåkes av snort. Skriv inn alle IP -adresser atskilt med et komma mellom firkantede parenteser.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
La linjen IPVAR ekstern_net som standard; Nedenfor kan du se konfigurasjonen min:
Hvis du går ned, vil du se alternativer for å overvåke spesifikke tjenester og ta ut dine aktiverte tjenester.
Når du er ferdig med å redigere filen, lukker du den for å lagre endringer. Hvis du ikke har åpne tjenester, må du bare lukke lagringsendringer.
Testing av snortkonfigurasjon med ekte angrep
La oss nå teste snort ved å kjøre kommandoen vist nedenfor. Bytt ut IP -adressen eller nettverket med deg.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -a konsoll -c/etc/snort/snort.konf
Hvor tidligere utførte kommandoblagg betyr:
-d = forteller Snort for å vise data
-L = Bestemmer loggerkatalogen
-h = Angir nettverket for å overvåke
-A = instruerer snort til trykte varsler i konsollen
-c = Angir snort konfigurasjonsfilen
For å teste snort, mens den kjører, lanserer du en aggressiv fingeravtrykk (XMAS) fra en annen datamaskin ved hjelp av NMAP, som vist nedenfor:
sudo nmap -v -st -o 192.168.0.103
Som du kan se i følgende skjermbilde, oppdager Snort fingeravtrykkforsøket:
La oss nå starte en DDOS angripe ved hjelp av nping3 fra en annen datamaskin.
HPing3 -C 10000 -D 120 -S -W 64 -P 21 -FLOD -RAND -SOURCE 10.0.0.3
Som du ser nedenfor, oppdager Snort ondsinnet trafikk:
Nå som vi ser hvordan Snort fungerer, la oss lage tilpassede regler.
Komme i gang med snortregler
Snort standard tilgjengelige regler er lagret i /etc/snort/regler katalog. For å se hvilke regler som er aktivert eller kommentert, må du lese /etc/snort/snort.konf fil vi tidligere redigerte.
Kjør følgende kommando og bla nedover for å se funksjonshemmede og aktiverte regler. Noen regler er deaktivert for Debian -brukere fordi de ikke er tilgjengelige i aksjen Debian -regler.
Mindre/etc/snort/snort.konf
Som tidligere sagt, er regelfiler lagret i /etc/snort/regler katalog.
La oss sjekke reglene for å oppdage og rapportere bakdører trafikk.
sudo mindre/etc/snort/regler/bakdør.regler
Som du kan se, er det flere regler for å forhindre bakdørangrep. Overraskende nok er det en regel å oppdage og rapportere Netbus, en trojansk hest som ble populær for tiår siden. La oss forklare hvordan denne regelen fungerer.
Varsel TCP $ HOME_NET 12345: 12346 -> $ EXSTERN_NET Any (MSG: "Backdoor Netbus
aktiv "; flyt: fra_server, etablert; innhold:" netbus "; referanse: arachnid
s, 401; Classtype: Misc-aktivitet; Sid: 109; Rev: 5;)
Varsel TCP $ EXSTERN_NET Any -> $ home_net 12345: 12346 (MSG: "Backdoor Netbus getInfo"; Flow: to_server, etablert; innhold: "getInfo | 0d |"; referanse: Arachnids, 403; Classtype: Misc -Activity; Sid: Sid: Sid: Sid: Sid: Sid: Sid: 110; Rev: 4;)
Hvor:
-> = Angir trafikkretningen, i dette tilfellet fra vårt beskyttede nettverk til et eksternt
Innhold = Se etter spesifikt innhold i pakken. Det kan inkludere tekst hvis mellom anførselstegn (“”) eller binære data hvis mellom (| |).
dybde = Intens analyse; I regelen over ser vi to forskjellige parametere for to forskjellige innhold.
offset = Instruerer snorker startbyten til hver pakke for å begynne å søke etter innholdet.
Classtype = Rapporterer hva slags angrep Snort varsler om.
Sid: 115 = Regelidentifikator.
Hvordan lage din egen snortregel
Nå oppretter vi en ny regel for å varsle om innkommende SSH -tilkoblinger.
Opprett a/etc/snort/regler/yourrule.Reglerfil ved hjelp av en tekstredigerer. Du kan navngi filen som du vil. Det er vilkårlig, så respekter banen.
sudo nano/etc/snort/regler/yourrule.regler
Lim inn følgende regel i filen. Som du ser, vil regelen varsle når en enhet prøver å koble seg gjennom SSH.
ALERT TCP $ EXSTERN_NET Any -> $ home_net 22 (MSG: "SSH Inmiction"; Flow: Stateless; Flags: S+; Sid: 100006927; Rev: 1;)
Lukk og lagre filen.
Legg nå regelen i snortkonfigurasjonsfilen, og kjør følgende kommando:
sudo nano/etc/snort/snort.konf
Bla nedover, og i reglene -delen, legg til følgende linje, der “your rule.regler ”må erstattes av ditt tilpassede regelnavn.
Inkluder $ Rule_Path/yourrule.regler
Lukk tekstredigereren; Dermed sparer du endringer.
Kjør nå snort ved å kjøre følgende kommando som vi gjorde tidligere; Hvis det allerede var åpent, er det OK:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -En konsoll -c/etc/snort/snort.konf
Jeg vil prøve å koble til fra en annen datamaskin ved hjelp av SSH.
SSH 192.168.0.103
Som du kan se i følgende bilde, rapporterer regelen vi opprettet tilkoblingsforsøket.
Det er alt for denne opplæringen. Hvis du vil lære mer om snort tilpassede varsler, anbefaler jeg denne opplæringen https: // linuxhint.com/ snort_alerts/ for å fortsette å lese om snortvarsler.
Konklusjon
Som du kan se er det enkelt å konfigurere og lage snortregler. Hver Linux -bruker kan gjøre det ved å forstå innholdet som tidligere er forklart. Det er viktig å huske eksklusive konfigurasjonsaspekter for Debian -brukere som tidligere er forklart. Det er noen snortalternativer du kanskje vil prøve, som OSSEC, men Snort er fortsatt de mest populære for Linux -brukere. Det er også viktig at Snort fungerer for alle operativsystemer i nettverket.
Takk for at du leser denne artikkelen som forklarer hvordan du konfigurerer snort -ID -er og hvordan du oppretter regler. Fortsett å følge Linuxhint for mer profesjonelle Linux -opplæringsprogrammer.