कैसे Debian पर Snort कॉन्फ़िगर करने के लिए

• अद्यतन, नवीनीकरण, और रिबूट
• कॉन्फ़िगरेशन को पूर्व-स्थापित करें
• डेटा अधिग्रहण लाइब्रेरी (DAQ) स्थापित करना
• Snort स्थापित करना
• अन-रूटिंग स्नॉर्ट

Snort एक फ्री नेटवर्क इंट्रूज़न डिटेक्शन सिस्टम (IDS) है। कम आधिकारिक शब्दों में, यह आपको वास्तविक समय में संदिग्ध गतिविधि के लिए अपने नेटवर्क की निगरानी करने की अनुमति देता है । वर्तमान में, स्नॉर्ट में फेडोरा, सेंटोस, फ्रीबीएसडी और विंडोज-आधारित सिस्टम के पैकेज हैं। सटीक स्थापना विधि OSes के बीच भिन्न होती है। इस ट्यूटोरियल में, हम सीधे Snort के लिए सोर्स फाइल्स से इंस्टाल होंगे। यह गाइड डेबियन के लिए लिखा गया था।

अद्यतन, नवीनीकरण, और रिबूट

इससे पहले कि हम वास्तव में स्नॉर्ट स्रोतों पर अपना हाथ डालें, हमें यह सुनिश्चित करने की आवश्यकता है कि हमारा सिस्टम अद्यतित है। हम नीचे दिए गए आदेश जारी करके ऐसा कर सकते हैं।

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

कॉन्फ़िगरेशन को पूर्व-स्थापित करें

एक बार जब आपका सिस्टम रिबूट हो जाता है, तो हमें यह सुनिश्चित करने के लिए कई पैकेज स्थापित करने होंगे कि हम एसबीपीपी स्थापित कर सकते हैं। मैं यह पता लगाने में सक्षम था कि कितने पैकेजों की आवश्यकता थी, इसलिए आधार कमांड नीचे है।

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

एक बार सभी पैकेज स्थापित हो जाने के बाद, आपको अपनी स्रोत फ़ाइलों के लिए एक अस्थायी निर्देशिका बनाने की आवश्यकता होगी - वे कहीं भी हो सकती हैं जो आप चाहें। मैं उपयोग कर रहा हूँ /usr/src/snort_src। इस फ़ोल्डर को बनाने के लिए, आपको rootउपयोगकर्ता के रूप में लॉग इन करना होगा , या sudoअनुमति लेनी होगी - rootबस इसे आसान बना देगा।

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

डेटा अधिग्रहण लाइब्रेरी (DAQ) स्थापित करना

इससे पहले कि हम स्नॉर्ट के लिए स्रोत प्राप्त कर सकें, हमें DAQ स्थापित करने की आवश्यकता है। यह स्थापित करने के लिए काफी सरल है।

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

टारबॉल से फाइलें निकालें।

tar xvfz daq-2.0.6.tar.gz

DAQ निर्देशिका में बदलें।

cd daq-2.0.6

कॉन्फ़िगर करें और DAQ स्थापित करें।

./configure; make; sudo make install

वह अंतिम पंक्ति, ./configureपहले निष्पादित होगी । फिर इसे अंजाम देंगे make। अंत में, यह निष्पादित करेगा make install। टाइपिंग पर थोड़ा सा बचाने के लिए हम यहां छोटे सिंटैक्स का उपयोग करते हैं।

Snort स्थापित करना

हम यह सुनिश्चित करना चाहते हैं कि हम /usr/src/snort_srcफिर से निर्देशिका में हों , इसलिए उस निर्देशिका में परिवर्तन करना सुनिश्चित करें:

cd /usr/src/snort_src

अब जब हम स्रोतों के लिए निर्देशिका में हैं, तो हम tar.gzस्रोत के लिए फ़ाइल डाउनलोड करेंगे । इस लेखन के समय, स्नॉर्ट का सबसे हालिया संस्करण है 2.9.8.0।

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

वास्तव में स्नॉर्ट स्थापित करने के लिए आदेश DAQ के लिए उपयोग किए जाने वाले समान हैं, लेकिन उनके पास अलग-अलग विकल्प हैं।

स्नोत स्रोत फ़ाइलों को निकालें।

tar xvfz snort-2.9.8.0.tar.gz

स्रोत निर्देशिका में बदलें।

cd snort-2.9.8.0

स्रोतों को कॉन्फ़िगर और इंस्टॉल करें।

 ./configure --enable-sourcefire; make; sudo make install

स्नॉर्ट के बाद की स्थापना

एक बार जब हम Snort स्थापित कर लेते हैं, तो हमें यह सुनिश्चित करने की आवश्यकता होती है कि हमारे साझा पुस्तकालय अद्यतित हैं। हम कमांड का उपयोग करके ऐसा कर सकते हैं:

sudo ldconfig

ऐसा करने के बाद, अपने Snort स्थापना का परीक्षण करें:

snort --version

यदि यह कमांड काम नहीं करता है, तो आपको एक सिमलिंक बनाने की आवश्यकता होगी। आप इसे टाइप करके देख सकते हैं:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

परिणामी आउटपुट निम्न सदृश होगा:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

अन-रूटिंग स्नॉर्ट

अब जब हमने स्नॉर्ट स्थापित किया है, तो हम इसे नहीं चलाना चाहते हैं root, इसलिए हमें एक snortउपयोगकर्ता और समूह बनाने की आवश्यकता है । एक नया उपयोगकर्ता और समूह बनाने के लिए, हम इन दो आदेशों का उपयोग कर सकते हैं:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

चूंकि हमने स्रोत का उपयोग करके प्रोग्राम स्थापित किया है, इसलिए हमें कॉन्फ़िगरेशन फ़ाइलों और स्नॉर्ट के नियमों को बनाने की आवश्यकता है।

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

जब हम निर्देशिका और नियम बनाते हैं, तो हमें अब लॉग निर्देशिका बनाने की आवश्यकता होती है।

sudo mkdir /var/log/snort

और अंत में, इससे पहले कि हम कोई नियम जोड़ सकें, हमें गतिशील नियमों को संग्रहीत करने के लिए जगह की आवश्यकता है।

sudo mkdir /usr/local/lib/snort_dynamicrules

पिछली सभी फाइलें बन जाने के बाद, उन पर उचित अनुमति दें।

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

कॉन्फ़िगरेशन फ़ाइलों को सेट करना

समय का एक गुच्छा बचाने के लिए और सब कुछ कॉपी और पेस्ट करने से रखने के लिए, बस कॉन्फ़िगरेशन निर्देशिका में सभी फ़ाइलों की प्रतिलिपि बनाने देता है।

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

अब जबकि कॉन्फिग फाइल हैं, आप दो काम कर सकते हैं:

• आप Barnyard2 को सक्षम कर सकते हैं
• या आप केवल कॉन्फिग फाइल को अकेले छोड़ सकते हैं और चुनिंदा रूप से वांछित नियमों को सक्षम कर सकते हैं।

किसी भी तरह से, आप अभी भी कुछ चीजें बदलना चाहते हैं। पढ़ते रहिये।

विन्यास

में /etc/snort/snort.confफ़ाइल, आप चर बदलने के लिए की आवश्यकता होगी HOME_NET। इसे आपके आंतरिक नेटवर्क के IP ब्लॉक पर सेट किया जाना चाहिए ताकि यह आपके नेटवर्क के सर्वर में लॉग इन करने के प्रयासों को लॉग न करे। यह 10.0.0.0/24या हो सकता है 192.168.0.0/16। अपने नेटवर्क के IP ब्लॉक के मूल्य में /etc/snort/snort.confपरिवर्तनशील की लाइन 45 पर HOME_NET।

मेरे नेटवर्क पर, यह इस तरह दिखता है:

ipvar HOME_NET 192.168.0.0/16

फिर, आपको EXTERNAL_NETचर को निम्न पर सेट करना होगा:

any

जो सिर्फ EXERNAL_NETआपके जो HOME_NETनहीं है में बदल जाता है।

नियम तय करना

अब जब सिस्टम का एक बड़ा हिस्सा स्थापित हो गया है, तो हमें इस छोटे से गुल्लक के लिए अपने नियमों को कॉन्फ़िगर करने की आवश्यकता है। कहीं न कहीं आसपास लाइन 104 अपने में /etc/snort/snort.confफ़ाइल, तुम देखना चाहिए एक "var" घोषणा और चर RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, और BLACK_LIST_PATH। उनके मूल्यों को हमारे द्वारा उपयोग किए जाने वाले रास्तों पर सेट किया जाना चाहिए Un-rooting Snort।

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

एक बार जब वे मान सेट हो जाते हैं, तो लाइन 548 पर शुरू होने वाले वर्तमान नियमों को हटा दें या टिप्पणी करें।

अब, यह सुनिश्चित करने के लिए जांचें कि आपका कॉन्फ़िगरेशन सही है। आप इसे सत्यापित कर सकते हैं snort।

 # snort -T -c /etc/snort/snort.conf

आपको निम्न के समान आउटपुट दिखाई देगा (संक्षिप्तता के लिए छोटा)।

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

अब जब सब कुछ त्रुटियों के बिना कॉन्फ़िगर किया गया है, तो हम Snort का परीक्षण शुरू करने के लिए तैयार हैं।

परीक्षण परीक्षण

Snort का परीक्षण करने का सबसे आसान तरीका है सक्षम करके local.rules। यह एक फ़ाइल है जिसमें आपके कस्टम नियम हैं।

यदि आपने snort.confफ़ाइल में देखा है , कहीं रेखा 546 के आसपास है, तो यह रेखा मौजूद है:

include $RULE_PATH/local.rules

यदि आपके पास यह नहीं है, तो कृपया इसे 546 के आसपास जोड़ें। आप local.rulesपरीक्षण के लिए फ़ाइल का उपयोग कर सकते हैं । एक बुनियादी परीक्षण के रूप में, मेरे पास सिर्फ एक पिंग अनुरोध (ICMP अनुरोध) का ट्रैक रखना है। आप अपनी local.rulesफ़ाइल में निम्न पंक्ति में जोड़कर ऐसा कर सकते हैं ।

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

एक बार आपके पास आपकी फ़ाइल में, इसे सहेजें, और पढ़ना जारी रखें।

परीक्षण चलाएं

निम्न कमांड, Snort को शुरू करेगा और "स्नो मोड" अलर्ट को प्रिंट करेगा, जैसा कि उपयोगकर्ता snort, ग्रुप snort के तहत, config का उपयोग करके करता है /etc/snort/snort.conf, और यह नेटवर्क इंटरफ़ेस पर सुनेगा eno1। आपको eno1उस नेटवर्क इंटरफ़ेस को बदलने की आवश्यकता होगी, जो आपका सिस्टम सुन रहा है।

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

एक बार जब आप इसे चला रहे हैं, तो उस कंप्यूटर को पिंग करें। आपको आउटपुट दिखना शुरू हो जाएगा जो निम्न की तरह दिखता है:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

आप प्रोग्राम से बाहर निकलने के लिए Ctrl + C दबा सकते हैं , और यह वह है। स्नॉर्ट सब सेट है। अब आप अपनी इच्छा से किसी भी नियम का उपयोग कर सकते हैं।

अंत में, मैं यह नोट करना चाहता हूं कि समुदाय द्वारा बनाए गए कुछ सार्वजनिक नियम हैं जिन्हें आप "समुदाय" टैब के तहत आधिकारिक साइट से डाउनलोड कर सकते हैं । "स्नॉर्ट" के लिए देखें, फिर उसके नीचे एक सामुदायिक लिंक है। इसे डाउनलोड करें, इसे निकालें, और community.rulesफ़ाइल देखें।