Inntrengingsdeteksjon med snort

Denne artikkelen forklarer hvordan du installerer Snort og hvordan du kommer i gang med snortvarsler og regler for å implementere et inntrengingsdeteksjonssystem.

Snort er et inntrengingsdeteksjonssystem som analyserer trafikken og pakkene for å oppdage anomalier, for eksempel ondsinnet trafikk, og rapportere dem. Hvis du ikke er kjent med inntrengingsdeteksjonssystemer, kan det være lurt å begynne å lese den endelige konklusjonen om dem. Hvis du vil gå rett til praktiske instruksjoner, fortsett å lese.

Etter å ha lest denne artikkelen, vil du kunne installere Snort på Debian og Redhat -baserte Linux -distribusjoner, angi forskjellige snortmodus, definere varsler og regler. SNORT -bruksinstruksjonene i denne opplæringen er gyldige for alle Linux -distribusjoner.

Alle instruksjoner i dette dokumentet inneholder skjermbilder for å gjøre det enkelt for alle Linux -brukere å forstå og bruke dem.

Installere snort

Du kan installere snort ved hjelp av Apt Packages Manager på Debian eller Ubuntu som vist på følgende skjermbilde:

sudo apt install snort

Under installasjonsprosessen vil du bli bedt om å definere nettverket ditt. trykk Ok å fortsette med neste trinn.

Skriv inn nettverksadressen din i CIDR -format. Normalt oppdager Snort Auto det med hell.

Trykk deretter Ok eller TAST INN. Ikke bekymre deg for dette trinnet; Denne konfigurasjonen kan redigeres senere.

Red Hat -baserte Linux -distribusjonsbrukere kan laste ned Snort -pakken fra https: // www.snort.org/nedlastinger#snort-downloads og installere den ved å kjøre følgende kommando, hvor <Versjon> Må erstattes med den nåværende versjonen du lastet ned.

sudo yum snort-<Versjon>.Rpm

Holde snortreglene oppdatert

Snort inneholder to hovedtyper av regler: Fellesskapsregler utviklet av Snort -samfunnet og offisielle regler. Du kan alltid oppdatere fellesskapets regler som standard. Men for å oppdatere de offisielle reglene, trenger du en Oink -kode - en kode som lar deg laste ned de nyeste reglene.

For å få en Oink -kode, registrer deg på https: // www.snort.org/brukere/sign_up.

Etter registrering, bekreft kontoen fra e -posten din og logg inn på Snort -nettstedet.

Trykk på OinkCode på dashbordet.

https: // www.snort.org/regler/snortrules-snapshot-.tjære.gz?OinkCode =

I mitt tilfelle brukte jeg Snort 2.9.15.1 og følgende lenke for å laste ned reglene:

https: // www.snort.org/regler/snortrules-snapshot-29151.tjære.gz?OinkCode =15E4F48AAB11B956BB27801172720F2BE9F3686D

Du kan opprette et CRON -skript for å laste ned og trekke ut reglene til riktig katalog.

Konfigurere snort

Snort konfigurasjonsfil er/etc/snort/snort.konf. Før de kommer i gang, må Debian -brukere følge trinnene som er nevnt i det følgende. Andre distrobrukere kan fortsette å lese fra/etc/snort/snort.Conf File Edition.

Merk for Debian -brukere: Debian Linux overskriver noen nettverksinnstillinger i Snort standardkonfigurasjonsfilen. Under /etc /snortkatalogen er det /etc/snort/snort.Debian.konf fil der Debian nettverksinnstillinger importeres.

Hvis du er en Debian -bruker, kjør følgende kode:

sudo nano/etc/snort/snort.Debian.konf

Sjekk at all informasjonen i denne konfigurasjonsfilen er riktig, inkludert CIDR -adresse, nettverksenhet osv.

Lagre filen. La oss begynne å konfigurere snortet.

For å konfigurere snortet, bruk hvilken som helst tekstredigerer som vist i følgende (jeg brukte Nano) for å åpne /etc/snort/snort.konf fil.

sudo nano/etc/snort/snort.konf

Sjekk nettverkskonfigurasjonen og bla nedover.

Definer portene du vil bli overvåket.

Ikke lukk filen og fortsett å lese neste avsnitt (hold konfigurasjonsfilen åpen).

Snort regler

Snort -regler er aktivert eller deaktivert ved å kommentere eller ikke -kommende linjer i/etc/snort/snort.Conf -fil. Men reglene er lagret i /etc/snort/regler fil.

For å aktivere eller deaktivere reglene, åpne /etc/snort/snort.konf med en tekstredigerer. Regler er lokalisert på slutten av filen.

Når du kommer til slutten av filen, vil du se en liste over regler for forskjellige formål. Ukomment reglene du vil aktivere og kommentere reglene du vil deaktivere.

For eksempel for å oppdage trafikken relatert til DOS -angrep, ukomment DOS -regelen. Eller ukommentar FTP -regelen for å overvåke porter 21.

sudo nano/etc/snort/snort.konf

Etter å ha unnlatt reglene, aktiverer, lagret og avsluttet dokumentet.

De 7 Snort Alert -modusene

Snort inkluderer 7 forskjellige varslingsmodus som skal varsles om hendelser eller hendelser. De 7 modusene er følgende:

• Fort: Snortvarsler inkluderer tidsstempel, sender en varslingsmelding, viser kilde- og destinasjons -IP -adresser og porter. For å implementere denne modusen, bruk -En rask
• Full: I tillegg, i den tidligere rapporterte informasjonen i hurtigmodus, skriver hele modusen også TTL, datagramlengde og pakkeoverskrifter, vindusstørrelse, ack og sekvensnummer. For å implementere denne modusen, bruk -En full
• Konsoll: Det viser sanntidsvarsler i konsollen. Denne modusen er aktivert med -En konsoll
• CMG: Denne modusen er bare nyttig for testformål.
• Unsock: Dette brukes til å eksportere varsler til UNIX -stikkontakter.
• Syslog: Denne modusen (systemloggingsprotokoll) instruerer Snort å sende en ekstern varslingslogg. For å kjøre denne modusen, legg til -s
• Ingen: Ingen varsler.

For å avslutte denne artikkelen, la oss prøve hele modusen ved å kjøre følgende kommando, hvor -En rask indikerer en hurtigmodusskanning og -c Angir konfigurasjonsfilen (/etc/snort/snort.konf).

sudo snort -a rask -c/etc/snort/snort.konf

Start nå noen NMAP -skanninger eller prøv å koble deg gjennom SSH eller FTP til datamaskinen din og lese /var/log/snort/snort.varsling.Rask de siste linjene for å sjekke hvordan trafikken rapporteres. Som du kan se, lanserte jeg en NMAP -aggressiv skanning, og den ble oppdaget som en ondsinnet trafikk.

hale/var/log/snort/snort.varsling.fort

Jeg håper denne opplæringen fungerer som en god introduksjon til snort. Men du må fortsette å lære det ved å lese snortvarslene og snort regler Opprinningsopplæringene obligatoriske avlesninger for å komme i gang med Snort.

Om inntrengingsdeteksjonssystemer

Den generelle tanken er at hvis en brannmur beskytter nettverket, anses nettverket som sikkert. Det er imidlertid ikke helt sant. Brannmurer er en grunnleggende komponent i et nettverk, men de kan ikke beskytte nettverket fullt ut mot tvangsoppføringer eller fiendtlige intensjoner. Inntrengingsdeteksjonssystemer brukes til å evaluere de aggressive eller uventede pakkene og generere et varsel før disse programmene kan skade nettverket. Et vertsbasert inntrengingsdeteksjonssystem kjører på alle enhetene i et nettverk eller kobles til en organisasjons interne nettverk. Et nettverksbasert inntrengingsdeteksjonssystem blir i stedet distribuert på et bestemt punkt eller gruppe av punkter som all inngående og utgående trafikk kan overvåkes. Fordelen med et vertsbasert inntrengingsdeteksjonssystem er at det også kan oppdage anomalier eller ondsinnet trafikk som genereres fra verten selv som om verten er påvirket av skadelig programvare, etc. Inntrengingsdeteksjonssystemer (IDS) Arbeid ved å overvåke og analysere nettverkstrafikken og sammenligne den med en etablert regelsett for å bestemme hva som skal tas som normalt for nettverket (for porter, båndbredder osv.) og hva du skal se nærmere på.

Et inntrengingsdeteksjonssystem kan distribueres avhengig av størrelsen på nettverket. Det er dusinvis av kommersielle ID -er av høy kvalitet, men mange selskaper og små bedrifter har ikke råd til dem. Snort er et fleksibelt, lett og populært inntrengingsdeteksjonssystem som kan distribueres i henhold til nettverkets behov, alt fra små til store nettverk, og gir alle funksjonene til en betalte IDS. Snort koster ikke noe, men det betyr ikke at det ikke kan gi de samme funksjonalitetene som en elite, kommersielle ID -er. Snort regnes som en passiv IDS, noe som betyr at den snuser nettverkspakkene, sammenligner med regelsett, og i tilfelle av å oppdage en ondsinnet logg eller oppføring (oppdage en inntrenging), genererer den et varsel eller plasserer en oppføring i en logg fil. Snort brukes til å overvåke operasjonene og aktivitetene til rutere, brannmurer og servere. Snort gir et brukervennlig grensesnitt som inneholder en kjede med regelsett som kan være veldig nyttig for en person som ikke er kjent med IDS. Snort genererer en alarm i tilfelle en inntrenging (bufferoverløpsangrep, DNS -forgiftning, OS fingeravtrykk, portskanninger og mye mer), og gir en organisasjon en større synlighet av nettverkstrafikken og gjør det mye enklere å oppfylle sikkerhetsforskriftene.

Nå blir du introdusert for IDS. La oss nå begynne å sette opp snortet.

Konklusjon

Inntrengingsdeteksjonssystemer som Snort brukes til å overvåke nettverkstrafikken for å oppdage når et angrep blir utført av en ondsinnet bruker før det kan skade eller påvirke nettverket. Hvis en angriper utfører en portskanning på et nettverk, kan angrepet oppdages sammen med antallet forsøk, angriperens IP -adresse og andre detaljer. Snort brukes til å oppdage alle typer anomalier. Det kommer med et stort antall regler som allerede er konfigurert, sammen med alternativet for brukeren å skrive sine egne regler i henhold til deres behov. Avhengig av størrelsen på nettverket, kan det enkelt settes opp snort og brukes uten å bruke noe, sammenlignet med de andre betalte kommersielle inntrengingsdeteksjonssystemene. De fangede pakkene kan analyseres videre ved hjelp av en pakkesniffer som Wireshark for å analysere og bryte ned hva som går i tankene til angriperen under angrepet og typer skanninger eller kommandoer som er utført. Snort er et gratis, åpen kildekode og lett å konfigurere verktøyet. Det kan være et godt valg å beskytte ethvert mellomstort nettverk mot et angrep.