Kaitske oma võrku sissetungijate ja soovimatute rünnakute eest, installides ja seadistades Snort IDS.

Kui suhtute võrguturbe tõsiselt, on IPS- või IDS-lahenduse installimine kohustuslik võrgu perimeetri tugevdamiseks ja potentsiaalselt soovimatu võrguliikluse suunamiseks.

Snort on üks selline kuulus, isiklikuks kasutamiseks tasuta ja avatud lähtekoodiga IPS/IDS-lahendus. Õppime, kuidas installida ja seadistada Snort Linuxis, et kaitsta oma võrku küberrünnakute eest.

Mis on Snort?

Snort on avatud lähtekoodiga programm Võrgu sissetungi tuvastamise ja ennetamise süsteem (NIDS/IPS) tarkvara, mis, nagu nimigi vihjab, aitab kaitsta teie võrgu perimeetrit, jõustades reegleid ja filtreid, mis tuvastavad ja kukutavad teie võrku sisestatud potentsiaalselt pahatahtlikud paketid.

Snortiga saate teha täpsemat võrguliikluse logimist, pakettide nuusutamist ja analüüsi ning seadistada luua tugev sissetungimise ennetamise süsteem, mis kaitseb teie võrku soovimatu ja potentsiaalselt pahatahtliku eest liiklust.

instagram viewer

Snorti installimise eeltingimused

Enne Snorti installimist tuleb teha mõned eelhäälestused. See hõlmab enamasti teie süsteemi värskendamist ja uuendamist ning Snorti nõuetekohaseks toimimiseks vajalike sõltuvuste installimist.

Alustage oma süsteemi värskendamisest ja uuendamisest.

Ubuntu- ja Debianil põhinevad Linuxi distributsioonid:

sudo apt update && apt upgrade -y

Arch Linuxis ja selle tuletistes:

sudo pacman -Syu

RHELis ja Fedoras:

sudo dnf uuendus

Kui teie süsteem on uuendatud, jätkake Snorti nõutavate sõltuvuste installimist. Siin on käsud, mida peate käivitama:

Ubuntu ja Debiani puhul käivitage:

sudo apt install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssl-dev cpputest libsqlite3-dev libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilter-queue-dev libunwind-dev libmnl-dev ethtool libjemalloc-dev libpcre++-dev

Käivitage Arch Linuxis:

sudo pacman -S gperftools hwloc hyperscan ibdaqlibdnet libmnl libpcap libunwind luajit lz4 openssl pcre pulledporkxz zlib cmake pkgconf

RHELi ja Fedora jaoks andke järgmine käsk:

sudo dnf install gcc gcc-c++ libnetfilter_queue-devel git flex bison zlib zlib-devel pcre pcredevel libdnet tcpdump libnghttp2 wget xz-devel -y

Lisaks peate käsitsi installima andmehõive raamatukogu, LibDAQ for Snort, et see korralikult töötaks, ja ka gperftools, et luua ehitusfailid.

Esmalt laadige ametlikult veebisaidilt alla LibDAQ-i lähtefailid kasutades käsku wget. Seejärel pakkige arhiiv välja ja liikuge CD abil kataloogi. Käivitage kataloogis bootstrap ja seadistada skripte, seejärel valmistage ette failid koos markeeringuga ja installige see rakendusega pane installima käsk.

wget https://www.snort.org/downloads/snortplus/libdaq-3.0.11.tar.gz
tar -xzvf lib*
cd lib*
./bootstrap
./configure
tegema
sudo make install

Kui LibDAQ on installitud, peate installima viimase sõltuvuse: gperftools. Alustuseks haarake GitHubi repost lähtefailid. Ekstraktige failid, liikuge kataloogi ja käivitage konfiguratsiooniskript. Lõpuks installige pakett, kasutades käske make ja make install.

wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.10/gperftools-2.10.tar.gz
tar -xvzf gper* && cd gper
./configure
tegema 
sudo make install

Kui need sõltuvused on installitud, võite liikuda Snorti installimise järgmiste sammude juurde.

Installige Snort From Source Linuxi

Kui esialgne seadistus on pooleli, saate nüüd keskenduda tegeliku tarkvara installimisele. Ehitate selle allikast, seega hankige esmalt vajalikud ehitusfailid.

Kasutage käsku wget või laadige failid käsitsi alla ametlikult allalaadimislehelt:

wget https://www.snort.org/downloads/snortplus/snort3-3.1.58.0.tar.gz

Lae alla:Nurruta

Kui ehitusfaile sisaldava arhiivi allalaadimine on lõppenud, ekstraheerige see käsu tar abil:

tar -xzvf snort*

Liikuge väljatõmmatud kausta, käivitage konfiguratsiooniskript, kasutage failide ettevalmistamiseks käsku make ja installige need lõpuks pane installima:

cd norskama*
./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
cd ehitamine
tegema
sudo make install

Snort installitakse nüüd edukalt teie süsteemi. Siiski peate tegema veel ühe sammu. Uue tarkvara käsitsi installimisel ei pruugita installikataloogi ja vajalikke teeke automaatselt süsteemi vaiketeele kaasata. Seega võib rakenduse käivitamisel tekkida vigu.

Selle probleemi vältimiseks peate käivitama käsu ldconfig. See sünkroonib süsteemi jagatud teegi vahemälu äsja installitud teekide ja binaarfailidega. Käivitage käsk ldconfig juurkestast või kasutage sudo eesliidet:

sudo ldconfig

Nüüd olete läbinud kõik Snorti installimiseks vajalikud olulised sammud. Installimise kontrollimiseks käivitage käsk Snort koos -V lipp ja peaksite nägema väljundit, mis tagastab versiooni nime ja muud andmed.

norskama -V

Kui olete Snorti installimise kinnitanud, jätkake järgmiste sammudega, et seadistada see täieliku IDS/IPS-ina.

Snorti esialgne konfigureerimine Linuxis

Snorti tõhusus sõltub peaaegu täielikult sellega kaasas olevate reeglikomplektide kvaliteedist.

Enne reeglite seadistamist peate siiski konfigureerima võrgukaardid Snortiga töötama ja samuti peate testima, kuidas Snort vaikekonfiguratsiooni käsitleb. Alustage võrgukaartide konfigureerimisest.

Seadke võrguliidese režiimi Promiscuous:

sudo ip link set dev interface_name promisc sees

Ethotool'i abil keelake üldise vastuvõtu mahalaadimine (GRO) ja Large Receive Offload (LRO), et vältida suuremate võrgupakettide kärpimist:

sudo ethtool -K liidese_nimi gro off lro off

Testige, kuidas Snort vaikekonfiguratsiooniga toimib:

snort -c /usr/local/etc/snort/snort.lua

See peaks tagastama eduka väljundsignaali, et olete Snorti oma süsteemi õigesti installinud ja seadistanud. Nüüd saate selle funktsioonide kallal nokitseda ja katsetada erinevate konfiguratsioonidega, et leida võrgu turvamiseks parim reeglikomplekt.

Seadistage reeglid ja jõustage need Snorti abil

Kui põhiseaded on paigas, on Snort nüüd valmis teie perimeetrit kaitsma. Nagu teate, vajab Snort liikluse kehtivuse määramiseks reeglikomplekte. Seadistagem Snorti jaoks mõned kogukonna loodud tasuta reeglikomplektid.

Snort loeb reeglikomplekte ja konfiguratsioone kindlatest kataloogidest. Esmalt looge käskude mkdir ja touch abil mõned olulised kataloogid reeglite ja muude Snorti jaoks oluliste andmete salvestamiseks:

sudo mkdir -p /usr/local/etc/{loendid, so_reeglid, reeglid} 
sudo touch /usr/local/etc/rules/local.rules 
sudo touch /usr/local/etc/lists/default.blocklist

Kui need kataloogid on loodud, saate ametlikult veebisaidilt alla laadida kogukonna reeglistiku, kasutades käsku wget:

wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Kui reeglistiku allalaadimine on lõppenud, eraldage see ja kopeerige see /usr/local/etc/rules/ kataloog.

tar -xvzf snort3-com*
cd snort3-com*
cp * /usr/local/etc/rules/

Snorti käivitamiseks reeglikomplektiga käivitage see käsk:

sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i liidese_nimi -s 65535 -k puudub

Käsu jaotus:

  • -c määrab vaikekonfiguratsioonifaili tee
  • -R määrab jõustatava reegli tee
  • -i määrab liidese
  • -s loobub snapleni piirangust
  • -k eirab kontrollsummasid

See peaks kinnitama konfiguratsiooni ja jõustama kõik Snorti reeglikomplektid. Niipea, kui see tuvastab mis tahes võrguhäire, teavitab see teid konsooli teatega.

Kui soovite luua ja jõustada oma reeglistiku, saate selle kohta lisateavet aadressilt ametlikud dokumentatsioonilehed.

Snortiga logimise seadistamine

Vaikimisi ei väljasta Snort ühtegi logi. Peate täpsustama -L lipp, et käivitada Snort logimisrežiimis, määrata logifaili tüüp ja -l lipp, et määrata Snorti logimiskataloog logide tühjendamiseks.

Siin on käsk Snorti käivitamiseks, kui logimine on lubatud:

sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i liidese_nimi -s 65535 -k puudub -L faili_tüüp -l /var/log /norksatama

Käsu jaotus:

  • -c määrab vaikekonfiguratsioonifaili tee
  • -R määrab jõustatava reegli tee
  • -i määrab liidese
  • -s loobub snapleni piirangust
  • -k eirab kontrollsummasid
  • -L võimaldab logimisrežiimi ja määrab logifaili tüübi
  • -l määrab logide salvestamise tee

Pange tähele, et näidiskäskluses on logimiskataloog seatud väärtusele /var/log/snort. Kuigi see on soovitatav tava, võite oma logisid mujale salvestada.

Saate lugeda Snorti logifaile määratletud kataloogist või edastada need edasiseks analüüsiks SIEM-tarkvarasse (nt Splunk).

Lisage Snort süsteemi käivitamise deemoniks

Kuigi olete Snorti installinud ja seadistanud, peate veenduma, et see käivitub käivitamisel ja töötab taustadeemonina. Selle lisamine automaatse käivitussüsteemi teenusena tagab, et Snort on töökorras ja kaitseb teie süsteemi igal ajal, kui see on võrgus.

Snorti käivitusdeemon Linuxis lisamiseks toimige järgmiselt.

  1. Alustage uue süsteemiteenuse faili loomisega:
    puudutage /lib/systemd/system/snort.service
  2. Avage fail oma valitud tekstiredaktoris ja sisestage see järgmiste andmetega. Saate lippe oma vajaduste järgi muuta:
    [Ühik]
    Description=Snort Deemon
    After=syslog.target network.target
    [teenus]
    Tüüp = lihtne
    ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -s 65535 -k none -l /var /log/snort -D -L pcap -i ens33 
    [Installi]
    WantedBy=multi-user.target
  3. Salvestage ja väljuge failist. Seejärel teenust kasutades ja systemctl käsud, lubage ja käivitage skript:
    sudo systemctl lubab snort.service
    sudo snort start

Snorti taustadeemon peaks nüüd olema valmis ja töötama. Skripti olekut saate kontrollida, kasutades systemctl olek snort käsk. See peaks andma positiivse väljundi.

Nüüd teate, kuidas kaitsta oma võrku Snort IDS-iga

Kuigi IDS-i rakendamine on hea tava, on see passiivne meede kui aktiivne. Parim viis oma võrgu turvalisuse parandamiseks ja tagamiseks on seda pidevalt testida ja otsida vigu, mida parandada.

Tungivuse testimine on suurepärane viis ärakasutatavate turvaaukude leidmiseks ja nende parandamiseks.