نحوه پیکربندی خروپف در Debian

• به روزرسانی ، ارتقاء و راه اندازی مجدد
• پیکربندی را از قبل نصب کنید
• نصب كتابخانه اكتساب داده ها (DAQ)
• نصب خروپف
• خروپف بدون ریشه

خروپف است رایگان شبکه سیستم تشخیص نفوذ (IDS). در شرایط رسمی کمتر ، به شما امکان می دهد شبکه خود را برای فعالیت مشکوک در زمان واقعی نظارت کنید . در حال حاضر ، Snort بسته هایی را برای سیستمهای Fedora ، CentOS ، FreeBSD و Windows-based دارد. روش نصب دقیق بین سیستم عامل ها متفاوت است. در این آموزش ، ما به طور مستقیم از پرونده های منبع برای Snort نصب خواهیم کرد. این راهنما برای دبیان نوشته شده است.

به روزرسانی ، ارتقاء و راه اندازی مجدد

قبل از اینکه واقعاً دست خود را به منابع Snort برسانیم ، باید اطمینان حاصل کنیم که سیستم ما به روز است. ما می توانیم با صدور دستورات زیر این کار را انجام دهیم.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

پیکربندی را از قبل نصب کنید

پس از راه اندازی مجدد سیستم ، باید تعدادی بسته را نصب کنیم تا مطمئن شویم که می توانیم SBPP را نصب کنیم. من توانستم متوجه شوم که تعدادی از بسته های مورد نیاز ، بنابراین دستور پایه در زیر قرار دارد.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

پس از نصب همه بسته ها ، باید یک فهرست موقت برای پرونده های منبع خود ایجاد کنید - آنها می توانند در هر مکانی که می خواهید باشند. من با استفاده از /usr/src/snort_src. برای ایجاد این پوشه ، باید به عنوان rootکاربر وارد شوید یا sudoمجوزهایی داشته باشید - rootفقط این کار را آسان تر می کند.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

نصب كتابخانه اكتساب داده ها (DAQ)

قبل از اینکه بتوانیم منبع Snort را بدست آوریم ، باید DAQ را نصب کنیم. نصب آن بسیار ساده است.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

پرونده ها را از تاربال خارج کنید.

tar xvfz daq-2.0.6.tar.gz

به فهرست DAQ تغییر دهید.

cd daq-2.0.6

DAQ را پیکربندی و نصب کنید.

./configure; make; sudo make install

این خط آخر ، ./configureاول اجرا خواهد شد . سپس آن را اجرا می کند make. در آخر ، آن را اجرا خواهد کرد make install. ما در اینجا از نحو کوتاه تر فقط برای صرفه جویی در تایپ استفاده می کنیم.

نصب خروپف

ما می خواهیم مطمئن شویم که /usr/src/snort_srcدوباره در این فهرست قرار داریم ، بنابراین حتماً آن فهرست را با استفاده از زیر تغییر دهید:

cd /usr/src/snort_src

اکنون که در فهرست منابع قرار داریم ، tar.gzفایل را برای منبع بارگیری می کنیم . در زمان این نوشتن ، جدیدترین نسخه Snort است 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

دستورات برای نصب snort بسیار شبیه به دستورالعمل های مورد استفاده برای DAQ است ، اما گزینه های مختلفی دارند.

فایلهای منبع Snort را استخراج کنید.

tar xvfz snort-2.9.8.0.tar.gz

به فهرست منبع تغییر دهید.

cd snort-2.9.8.0

منابع را پیکربندی و نصب کنید.

 ./configure --enable-sourcefire; make; sudo make install

پس از نصب Snort

پس از نصب Snort ، باید اطمینان حاصل کنیم که کتابخانه های مشترک ما به روز هستند. ما می توانیم این کار را با استفاده از دستور انجام دهیم:

sudo ldconfig

پس از انجام این کار ، نصب Snort خود را تست کنید:

snort --version

اگر این دستور کار نکند ، شما نیاز به ایجاد سیمینک دارید. می توانید این کار را با تایپ کردن انجام دهید:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

خروجی حاصل شبیه به موارد زیر خواهد بود:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

خروپف بدون ریشه

اکنون که خروپف را نصب کردیم ، نمی خواهیم اینطور اجرا شود root، بنابراین باید یک snortکاربر و گروه ایجاد کنیم . برای ایجاد یک کاربر و گروه جدید ، می توانیم از این دو دستور استفاده کنیم:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

از آنجا که برنامه را با استفاده از منبع نصب کرده ایم ، باید فایل های پیکربندی و قوانین مربوط به خروپف را ایجاد کنیم.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

پس از ایجاد دایرکتوری ها و قوانین ، اکنون باید دایرکتوری log را ایجاد کنیم.

sudo mkdir /var/log/snort

و در آخر اینکه ، قبل از اینکه بتوانیم هیچ قانونی اضافه کنیم ، به مکانی برای ذخیره قوانین پویا احتیاج داریم.

sudo mkdir /usr/local/lib/snort_dynamicrules

پس از ایجاد پرونده های قبلی ، مجوزهای مناسب را روی آنها تنظیم کنید.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

تنظیم پرونده های پیکربندی

برای صرفه جویی در وقت و جلوگیری از نیاز به کپی و چسباندن همه چیز ، به شما اجازه می دهد تا تمام پرونده ها را در فهرست تنظیمات کپی کنید.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

اکنون که پرونده های پیکربندی وجود دارد ، می توانید یکی از دو کار را انجام دهید:

• می توانید Barnyard2 را فعال کنید
• یا فقط می توانید پرونده های پیکربندی را تنها بگذارید و قوانین مورد نظر را به صورت انتخابی فعال کنید.

در هر صورت ، شما هنوز هم می خواهید چند چیز را تغییر دهید. خواندن را ادامه دهید.

پیکربندی

در /etc/snort/snort.confپرونده باید متغیر را تغییر دهید HOME_NET. باید روی بلوک IP شبکه داخلی شما تنظیم شود ، بنابراین تلاشهای شبکه شما برای ورود به سرور وارد نمی شود. این ممکن است 10.0.0.0/24یا 192.168.0.0/16باشد. در خط 45 /etc/snort/snort.confمتغیر را HOME_NETبه آن مقدار از بلوک IP شبکه خود تغییر دهید .

در شبکه من ، اینگونه به نظر می رسد:

ipvar HOME_NET 192.168.0.0/16

سپس ، شما باید EXTERNAL_NETمتغیر را بر روی:

any

که فقط EXERNAL_NETبه هر آنچه HOME_NETکه نیست تبدیل می شود .

تنظیم قوانین

اکنون که اکثریت زیادی از سیستم راه اندازی شده است ، ما باید قوانین خود را برای این پیگگی کوچک پیکربندی کنیم. در جایی در حدود خط 104 در /etc/snort/snort.confپرونده خود ، باید یک عبارت "var" و متغیرها RULE_PATH، SO_RULE_PATH، PREPROC_RULE_PATH، WHITE_LIST_PATH، و BLACK_LIST_PATH. مقادیر آنها باید به مسیری که در آن استفاده کردیم تنظیم شود Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

پس از تنظیم این مقادیر ، قوانین فعلی را که از خط 548 شروع می شود حذف یا اظهار نظر کنید.

اکنون ، بررسی می کنیم تا مطمئن شوید که پیکربندی شما صحیح است. می توانید با آن تأیید کنید snort.

 # snort -T -c /etc/snort/snort.conf

خروجی شبیه به موارد زیر را مشاهده می کنید (کوتاه شده برای کوتاه بودن).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

اکنون که همه چیز بدون خطا پیکربندی شده است ، ما آماده هستیم تا تست Snort را شروع کنیم.

تست خروپف

ساده ترین روش برای آزمایش Snort با فعال کردن آن است local.rules. این پرونده ای است که شامل قوانین سفارشی شما است.

اگر در snort.confپرونده متوجه شده اید ، جایی در حدود خط 546 ، این خط وجود دارد:

include $RULE_PATH/local.rules

اگر آن را ندارید ، لطفاً آن را در حدود 546 اضافه کنید. سپس می توانید از این local.rulesفایل برای آزمایش استفاده کنید. به عنوان یک آزمایش اصلی ، من فقط Snort را پیگیری یک درخواست پینگ (درخواست ICMP) کرده ام. می توانید با افزودن خط زیر به local.rulesپرونده خود این کار را انجام دهید.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

هنگامی که آن را در پرونده خود دارید ، آن را ذخیره کنید و خواندن را ادامه دهید.

تست را اجرا کنید

دستور زیر Snort را شروع می کند و هشدارهای "fast mode" را چاپ می کند ، زیرا snort کاربر ، در زیر خروپف گروه ، با استفاده از پیکربندی /etc/snort/snort.conf، و آن را به رابط شبکه گوش می دهد eno1. شما باید به eno1هر رابط شبکه ای که سیستم شما در حال گوش دادن است تغییر دهید .

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

هنگامی که آن را اجرا کردید ، آن کامپیوتر را پینگ کنید. شما شروع به مشاهده خروجی خواهید کرد که به شکل زیر است:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

برای خروج از برنامه می توانید Ctrl + C را فشار دهید ، و این همین است. خروپف همه تنظیم شده است. اکنون ممکن است از هر قانونی که می خواهید استفاده کنید.

در آخر ، می خواهم توجه داشته باشم که برخی از قوانین عمومی ساخته شده توسط انجمن وجود دارد که می توانید از طریق سایت رسمی در زیر برگه "Community" بارگیری کنید. به دنبال "خروپف" بگردید ، و فقط در زیر آن پیوند جامعه وجود دارد. آن را بارگیری کنید ، آن را استخراج کنید و به دنبال community.rulesپرونده باشید.