Installer snort inntrengingsdeteksjonssystem ubuntu
Etter å ha satt opp en server blant de første vanlige trinnene som er koblet til sikkerhet, er brannmuren, oppdateringer og oppgraderinger, SSH -nøkler, maskinvareenheter. Men de fleste sysadmins skanner ikke sine egne servere for å oppdage svake punkter som forklart med Openvas eller Nessus, og setter heller ikke opp honeypots eller et inntrengingsdeteksjonssystem (IDS) som er forklart nedenfor nedenfor.
Det er flere ID -er i markedet og de beste er gratis, Snort er den mest populære, jeg kjenner bare Snort og OSSEC og jeg foretrekker OSSEC fremfor Snort fordi det spiser mindre ressurser, men jeg tror Snort fremdeles er den universelle en. Ytterligere alternativer er: suricata, bro -ID -er, sikkerhetsløk.
Den mest offisielle forskningen på IDS -effektivitet er ganske gammel, fra 1998, samme år som Snort opprinnelig ble utviklet, og ble utført av DARPA, konkluderte den med at slike systemer var ubrukelige før moderne angrep. Etter 2 tiår utviklet det seg ved geometrisk progresjon, sikkerhet gjorde det også, og alt er nesten oppdatert, å ta i bruk IDS er nyttig for hver sysadmin.
Snort ids
Snort IDS fungerer i 3 forskjellige moduser, som sniffer, som pakkelogger og nettverksinntrengningsdeteksjonssystem. Den siste er den mest allsidige som denne artikkelen er fokusert.
Installere snort
APT-Få installer Libpcap-dev bison flex
Så løper vi:
APT-Få install snort
I mitt tilfelle er programvaren allerede installert, men den var ikke som standard, det var slik den ble installert på Kali (Debian).
Komme i gang med Snort's Sniffer -modus
Sniffer -modus leser nettverkets trafikk og viser oversettelsen for en menneskelig seer.
For å teste IT -typen:
# snort -v
Dette alternativet skal ikke brukes normalt, å vise trafikken krever for mye ressurser, og det brukes bare for å vise kommandoens utdata.
I terminalen kan vi se trafikkoverskrifter oppdaget av Snort mellom PCen, ruteren og internett. Snort rapporterer også mangelen på retningslinjer for å reagere på den oppdagede trafikken.
Hvis vi vil at snort skal vise dataene også typen:
# snort -vd
For å vise Layer 2 -overskriftene kjører:
# snort -v -d -e
Akkurat som "V" -parameteren, "E" representerer sløsing med ressurser, bør bruken unngås for produksjon.
Komme i gang med Snort's Packet Logger -modus
For å lagre Snorts rapporter må vi spesifisere for å snuse en loggkatalog, hvis vi vil at Snort skal vise bare overskrifter og logge trafikken på disktypen:
# mkdir snortlogs
# snort -d -l snortlogs
Loggen vil bli lagret i Snortlogs -katalogen.
Hvis du vil lese loggfiler -typen:
# snort -d -v -r logfilename.Logg.xxxxxxx
Komme i gang med Snort's Network Intrudery Detection System (NIDS) -modus
Med følgende kommando leser Snort reglene som er spesifisert i filen/etc/snort/snort.Konf for å filtrere trafikken ordentlig, unngå å lese hele trafikken og fokusere på spesifikke hendelser
referert i snortet.Konf gjennom tilpassbare regler.
Parameteren “-a-konsollen” instruerer Snort til varsel i terminalen.
# snort -d -l snortlog -h 10.0.0.0/24 -a konsoll -c snort.konf
Takk for at du leste denne introduksjonsteksten til Snorts bruk.