كيفية تكوين Snort على دبيان

• التحديث والترقية وإعادة التشغيل
• التكوين قبل التثبيت
• تركيب مكتبة الحصول على البيانات (DAQ)
• تثبيت Snort
• Un-rooting Snort

Snort هو نظام مجاني لكشف تسلل الشبكة (IDS). بعبارات أقل رسمية ، يتيح لك مراقبة شبكتك بحثًا عن أي نشاط مريب في الوقت الفعلي . لدى Snort حاليًا حزم للأنظمة المستندة إلى Fedora و CentOS و FreeBSD و Windows. تختلف طريقة التثبيت الدقيقة بين أنظمة تشغيل. في هذا البرنامج التعليمي ، سنقوم بالتثبيت مباشرة من ملفات المصدر لـ Snort. كتب هذا الدليل لديبيان.

التحديث والترقية وإعادة التشغيل

قبل أن نضع أيدينا بالفعل على مصادر Snort ، نحتاج إلى التأكد من أن نظامنا محدث. يمكننا القيام بذلك عن طريق إصدار الأوامر أدناه.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

التكوين قبل التثبيت

بمجرد إعادة تشغيل نظامك ، نحتاج إلى تثبيت عدد من الحزم للتأكد من أنه يمكننا تثبيت SBPP. تمكنت من معرفة أن هناك عددًا من الحزم المطلوبة ، لذا فإن الأمر الأساسي أدناه.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

بمجرد تثبيت جميع الحزم ، ستحتاج إلى إنشاء دليل مؤقت لملفاتك المصدر - يمكن أن تكون في أي مكان تريده. سأستخدم /usr/src/snort_src. لإنشاء هذا المجلد ، ستحتاج إلى تسجيل الدخول rootكمستخدم ، أو الحصول على sudoأذونات - rootما يجعل الأمر أسهل.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

تركيب مكتبة الحصول على البيانات (DAQ)

قبل أن نحصل على مصدر Snort ، نحتاج إلى تثبيت DAQ. إنه سهل التثبيت إلى حد ما.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

استخرج الملفات من الملف.

tar xvfz daq-2.0.6.tar.gz

التغيير إلى دليل DAQ.

cd daq-2.0.6

تكوين وتثبيت DAQ.

./configure; make; sudo make install

سيتم تنفيذ هذا السطر الأخير ./configureأولاً. ثم سيتم تنفيذه make. وأخيرا ، سيتم تنفيذ ذلك make install. نستخدم بناء الجملة الأقصر هنا فقط لتوفير القليل من الكتابة.

تثبيت Snort

نريد أن نتأكد من أننا في /usr/src/snort_srcالدليل مرة أخرى ، لذا تأكد من التغيير إلى هذا الدليل باستخدام:

cd /usr/src/snort_src

الآن بعد أن أصبحنا في دليل المصادر ، سنقوم بتنزيل tar.gzملف المصدر. في وقت كتابة هذا التقرير ، كان أحدث إصدار من Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

أوامر تثبيت snort بالفعل تشبه إلى حد كبير تلك المستخدمة في DAQ ، ولكن لديهم خيارات مختلفة.

استخرج ملفات مصدر Snort.

tar xvfz snort-2.9.8.0.tar.gz

التغيير في الدليل المصدر.

cd snort-2.9.8.0

تكوين وتثبيت المصادر.

 ./configure --enable-sourcefire; make; sudo make install

بعد تثبيت Snort

بمجرد تثبيت Snort ، نحتاج إلى التأكد من تحديث مكتباتنا المشتركة. يمكننا القيام بذلك باستخدام الأمر:

sudo ldconfig

بعد القيام بذلك ، اختبر تثبيت Snort الخاص بك:

snort --version

إذا لم ينجح هذا الأمر ، فستحتاج إلى إنشاء ارتباط رمزي. يمكنك القيام بذلك عن طريق كتابة:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

سيكون الناتج الناتج مشابهًا لما يلي:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Un-rooting Snort

الآن بعد أن تم تثبيت snort ، لا نريد تشغيله على هذا النحو root، لذا نحتاج إلى إنشاء snortمستخدم ومجموعة. لإنشاء مستخدم ومجموعة جديدة ، يمكننا استخدام هذين الأمرين:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

نظرًا لأننا قمنا بتثبيت البرنامج باستخدام المصدر ، نحتاج إلى إنشاء ملفات التكوين وقواعد snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

بعد إنشاء الدلائل والقواعد ، نحتاج الآن إلى إنشاء دليل السجل.

sudo mkdir /var/log/snort

وأخيرًا ، قبل أن نتمكن من إضافة أي قواعد ، نحتاج إلى مكان لتخزين القواعد الديناميكية.

sudo mkdir /usr/local/lib/snort_dynamicrules

بمجرد إنشاء جميع الملفات السابقة ، قم بتعيين الأذونات المناسبة عليها.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

إعداد ملفات التكوين

لتوفير مجموعة من الوقت وللحفاظ على الاضطرار إلى نسخ ولصق كل شيء ، دعنا فقط ننسخ جميع الملفات في دليل التكوين.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

الآن بعد أن أصبحت ملفات التهيئة موجودة ، يمكنك تنفيذ أحد أمرين:

• يمكنك تمكين Barnyard2
• أو يمكنك ترك ملفات التكوين وحدها وتمكين القواعد المطلوبة بشكل انتقائي.

في كلتا الحالتين ، ما زلت تريد تغيير بعض الأشياء. تابع القراءة.

ترتيب

في /etc/snort/snort.confالملف ، ستحتاج إلى تغيير المتغير HOME_NET. يجب تعيينه على كتلة IP لشبكتك الداخلية حتى لا يقوم بتسجيل محاولات الشبكة الخاصة بك لتسجيل الدخول إلى الخادم. قد يكون هذا 10.0.0.0/24أو 192.168.0.0/16. في السطر 45 ، قم /etc/snort/snort.confبتغيير المتغير HOME_NETإلى تلك القيمة الخاصة بحظر IP للشبكة الخاصة بك.

على شبكتي ، يبدو هذا:

ipvar HOME_NET 192.168.0.0/16

بعد ذلك ، سيكون عليك تعيين EXTERNAL_NETالمتغير على:

any

الذي يتحول EXERNAL_NETإلى ما HOME_NETليس لديك .

وضع القواعد

الآن بعد أن تم إعداد الغالبية العظمى من النظام ، نحتاج إلى تكوين قواعدنا لهذا الخنزير الصغير. في مكان ما حول خط 104 في الخاص بك /etc/snort/snort.confملف، يجب أن تشاهد "فار" إعلان والمتغيرات RULE_PATH، SO_RULE_PATH، PREPROC_RULE_PATH، WHITE_LIST_PATH، و BLACK_LIST_PATH. يجب تعيين قيمهم على المسارات التي استخدمناها Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

بمجرد تعيين هذه القيم ، قم بحذف أو التعليق على القواعد الحالية بدءًا من السطر 548 تقريبًا.

الآن ، دعونا نتحقق من صحة التكوين الخاص بك. يمكنك التحقق من ذلك باستخدام snort.

 # snort -T -c /etc/snort/snort.conf

سترى ناتجًا مشابهًا لما يلي (مقطوعًا للإيجاز).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

الآن بعد أن تم تكوين كل شيء دون أخطاء ، نحن مستعدون لبدء اختبار Snort.

اختبار الشخير

أسهل طريقة لاختبار Snort هي عن طريق تمكين local.rules. هذا ملف يحتوي على القواعد المخصصة الخاصة بك.

إذا لاحظت في snort.confالملف ، في مكان ما حول السطر 546 ، يوجد هذا السطر:

include $RULE_PATH/local.rules

إذا لم يكن لديك ، يرجى إضافته حوالي 546. يمكنك بعد ذلك استخدام local.rulesالملف للاختبار. كاختبار أساسي ، لدي فقط Snort يتتبع طلب ping (طلب ICMP). يمكنك القيام بذلك عن طريق إضافة السطر التالي إلى ملفك local.rules.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

بمجرد حفظ ذلك في ملفك ، احفظه وتابع القراءة.

قم بإجراء الاختبار

سيبدأ الأمر التالي بتشغيل Snort وطباعة تنبيهات "الوضع السريع" ، حيث يقوم المستخدم snort ، تحت snort المجموعة ، باستخدام التكوين /etc/snort/snort.conf، وسيستمع على واجهة الشبكة eno1. ستحتاج إلى التغيير eno1إلى أي واجهة شبكة يستمع إليها نظامك.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

بمجرد تشغيله ، قم باختبار اتصال هذا الكمبيوتر. ستبدأ في رؤية الإخراج الذي يشبه ما يلي:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

يمكنك الضغط على Ctrl + C للخروج من البرنامج ، وهذا كل شيء. تم إعداد Snort. يمكنك الآن استخدام أي قواعد تريدها.

أخيرًا ، أود أن أشير إلى أن هناك بعض القواعد العامة التي وضعها المجتمع يمكنك تنزيلها من الموقع الرسمي تحت علامة التبويب "المجتمع". ابحث عن "Snort" ، وبعد ذلك بقليل يوجد رابط مجتمع. قم بتنزيل ذلك واستخرجه وابحث عن community.rulesالملف.