Cara Mengkonfigurasi Snort Pada Debian

Snort adalah bebas jaringan sistem deteksi intrusi (IDS). Dalam ketentuan yang kurang resmi, ini memungkinkan Anda untuk memonitor jaringan Anda untuk aktivitas mencurigakan secara real time . Saat ini, Snort memiliki paket untuk sistem berbasis Fedora, CentOS, FreeBSD, dan Windows. Metode pemasangan yang tepat bervariasi di antara OS. Dalam tutorial ini, kita akan menginstal langsung dari file sumber untuk Snort. Panduan ini ditulis untuk Debian.

Perbarui, Tingkatkan, dan Reboot

Sebelum kita benar-benar mendapatkan sumber-sumber Snort, kita perlu memastikan bahwa sistem kita mutakhir. Kita dapat melakukan ini dengan mengeluarkan perintah di bawah ini.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Pra-instal konfigurasi

Setelah sistem Anda reboot, kami perlu menginstal sejumlah paket untuk memastikan bahwa kami dapat menginstal SBPP. Saya bisa mengetahui bahwa beberapa paket yang diperlukan, jadi perintah dasar di bawah ini.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Setelah semua paket diinstal, Anda perlu membuat direktori sementara untuk file sumber Anda - mereka dapat di mana saja yang Anda inginkan. Saya akan menggunakan /usr/src/snort_src. Untuk membuat folder ini, Anda harus masuk sebagai rootpengguna, atau memiliki sudoizin - roothanya membuatnya lebih mudah.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Menginstal Perpustakaan Akuisisi Data (DAQ)

Sebelum kita bisa mendapatkan sumber untuk Snort, kita perlu menginstal DAQ. Cukup mudah dipasang.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Ekstrak file dari tarball.

tar xvfz daq-2.0.6.tar.gz

Ubah ke direktori DAQ.

cd daq-2.0.6

Konfigurasikan dan instal DAQ.

./configure; make; sudo make install

Baris terakhir itu, akan dieksekusi ./configureterlebih dahulu. Maka itu akan mengeksekusi make. Terakhir, itu akan dieksekusi make install. Kami menggunakan sintaks yang lebih pendek di sini hanya untuk menghemat sedikit pada pengetikan.

Menginstal Snort

Kami ingin memastikan bahwa kami berada di /usr/src/snort_srcdirektori lagi, jadi pastikan untuk mengubah ke direktori itu dengan:

cd /usr/src/snort_src

Sekarang kita berada di direktori untuk sumber, kita akan mengunduh tar.gzfile untuk sumber. Pada saat penulisan ini, versi terbaru dari Snort adalah 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Perintah untuk benar-benar menginstal snort sangat mirip dengan yang digunakan untuk DAQ, tetapi mereka memiliki opsi yang berbeda.

Ekstrak file sumber Snort.

tar xvfz snort-2.9.8.0.tar.gz

Ubah ke direktori sumber.

cd snort-2.9.8.0

Konfigurasikan dan instal sumbernya.

 ./configure --enable-sourcefire; make; sudo make install

Pasca-instal Snort

Setelah kami memasang Snort, kami perlu memastikan bahwa pustaka bersama kami terbarui. Kita dapat melakukan ini menggunakan perintah:

sudo ldconfig

Setelah kami melakukannya, uji instalasi Snort Anda:

snort --version

Jika perintah ini tidak berfungsi, Anda harus membuat symlink. Anda dapat melakukan ini dengan mengetik:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Output yang dihasilkan akan menyerupai berikut ini:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Batalkan rooting Snort

Sekarang kita telah menginstal snort, kita tidak ingin itu berjalan root, jadi kita perlu membuat snortpengguna dan grup. Untuk membuat pengguna dan grup baru, kita dapat menggunakan dua perintah ini:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Karena kita telah menginstal program menggunakan sumber, kita perlu membuat file konfigurasi dan aturan untuk mendengus.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Setelah kita membuat direktori dan aturan, kita sekarang perlu membuat direktori log.

sudo mkdir /var/log/snort

Dan terakhir, sebelum kita dapat menambahkan aturan apa pun, kita membutuhkan tempat untuk menyimpan aturan dinamis.

sudo mkdir /usr/local/lib/snort_dynamicrules

Setelah semua file sebelumnya dibuat, tetapkan izin yang sesuai untuk file tersebut.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Menyiapkan file konfigurasi

Untuk menghemat banyak waktu dan agar tidak menyalin dan menempel semuanya, mari kita salin semua file ke direktori konfigurasi.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Sekarang setelah file konfigurasi ada, Anda dapat melakukan salah satu dari dua hal:

  • Anda dapat mengaktifkan Barnyard2
  • Atau Anda bisa membiarkan file konfigurasi saja dan secara selektif mengaktifkan aturan yang diinginkan.

Apa pun itu, Anda masih ingin mengubah beberapa hal. Teruslah membaca.

Konfigurasi

Dalam /etc/snort/snort.conffile tersebut, Anda perlu mengubah variabel HOME_NET. Ini harus diatur ke blok IP jaringan internal Anda sehingga tidak akan mencatat upaya jaringan Anda sendiri untuk masuk ke server. Ini mungkin 10.0.0.0/24atau 192.168.0.0/16. Pada baris 45 /etc/snort/snort.confubah variabel HOME_NETke nilai blok IP jaringan Anda.

Di jaringan saya, tampilannya seperti ini:

ipvar HOME_NET 192.168.0.0/16

Kemudian, Anda harus mengatur EXTERNAL_NETvariabel ke:

any

Yang berubah EXERNAL_NETmenjadi apa pun HOME_NETyang bukan milikmu.

Pengaturan aturan

Sekarang sebagian besar sistem sudah diatur, kita perlu mengkonfigurasi aturan untuk piggy kecil ini. Di suatu tempat di sekitar garis 104 di Anda /etc/snort/snort.confberkas, Anda akan melihat "var" deklarasi dan variabel RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, dan BLACK_LIST_PATH. Nilai-nilai mereka harus ditetapkan ke jalur yang kita gunakan Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Setelah nilai-nilai tersebut ditetapkan, hapus atau komentari aturan saat ini yang dimulai pada baris 548.

Sekarang, mari kita periksa untuk memastikan bahwa konfigurasi Anda sudah benar. Anda dapat memverifikasinya dengan snort.

 # snort -T -c /etc/snort/snort.conf

Anda akan melihat output yang mirip dengan yang berikut ini (terpotong untuk singkatnya).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Sekarang semuanya sudah dikonfigurasi tanpa kesalahan, kami siap untuk memulai pengujian Snort.

Menguji Mendengus

Cara termudah untuk menguji Snort adalah dengan mengaktifkan local.rules. Ini adalah file yang berisi aturan khusus Anda.

Jika Anda perhatikan di snort.conffile, di suatu tempat di sekitar baris 546, baris ini ada:

include $RULE_PATH/local.rules

Jika Anda tidak memilikinya, silakan tambahkan sekitar 546. Anda kemudian dapat menggunakan local.rulesfile untuk pengujian. Sebagai tes dasar, saya hanya meminta Snort melacak permintaan ping (permintaan ICMP). Anda dapat melakukannya dengan menambahkan baris berikut ke local.rulesfile Anda .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Setelah Anda memilikinya di file Anda, simpan, dan lanjutkan membaca.

Jalankan tes

Perintah berikut ini akan mulai mendengus dan mencetak peringatan "mode cepat", saat pengguna mendengus, di bawah mendengus grup, menggunakan konfigurasi /etc/snort/snort.conf, dan itu akan mendengarkan pada antarmuka jaringan eno1. Anda perlu mengubah eno1antarmuka jaringan apa pun yang didengarkan sistem Anda.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Setelah Anda menjalankannya, ping komputer itu. Anda akan mulai melihat output yang terlihat seperti berikut:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Anda dapat menekan Ctrl + C untuk keluar dari program, dan hanya itu. Snort sudah diatur. Anda sekarang dapat menggunakan aturan apa pun yang Anda inginkan.

Terakhir, saya ingin mencatat bahwa ada beberapa aturan publik yang dibuat oleh komunitas yang dapat Anda unduh dari situs resmi di bawah tab "Komunitas". Cari "Snort", lalu tepat di bawahnya ada tautan komunitas. Unduh itu, ekstrak, dan cari community.rulesfile.



Leave a Comment

Siapkan Berbagi NFS di Debian

Siapkan Berbagi NFS di Debian

NFS adalah sistem file berbasis jaringan yang memungkinkan komputer untuk mengakses file di seluruh jaringan komputer. Panduan ini menjelaskan bagaimana Anda dapat mengekspos folder melalui NF

Menggunakan Tampilan MySQL pada Debian 7

Menggunakan Tampilan MySQL pada Debian 7

Pendahuluan MySQL memiliki fitur hebat yang dikenal sebagai tampilan. Tampilan adalah kueri yang disimpan. Pikirkan mereka sebagai alias untuk permintaan yang panjang. Dalam panduan ini,

Cara Memasang Thelia 2.3 pada Debian 9

Cara Memasang Thelia 2.3 pada Debian 9

Menggunakan Sistem yang Berbeda? Thelia adalah alat sumber terbuka untuk membuat situs web e-bisnis dan mengelola konten online yang ditulis dalam PHP. Kode sumber thelia i

Menyiapkan Chroot di Debian

Menyiapkan Chroot di Debian

Artikel ini akan mengajarkan Anda cara mengatur chroot jail di Debian. Saya berasumsi bahwa Anda menggunakan Debian 7.x. Jika Anda menjalankan Debian 6 atau 8, ini mungkin berhasil, bu

Cara Memasang PiVPN pada Debian

Cara Memasang PiVPN pada Debian

Pendahuluan Cara mudah untuk menyiapkan server VPN pada Debian adalah dengan PiVPN. PiVPN adalah penginstal dan pembungkus untuk OpenVPN. Ini menciptakan perintah sederhana untuk Anda

Instal Nginx, Wordpress, dan Mari Mengenkripsi dalam Menit dengan EasyEngine di Debian 8 atau Ubuntu 16.04

Instal Nginx, Wordpress, dan Mari Mengenkripsi dalam Menit dengan EasyEngine di Debian 8 atau Ubuntu 16.04

EasyEngine (ee) adalah alat Python yang memungkinkan Anda untuk mengelola situs Wordpress di Nginx dengan mudah dan otomatis. Menggunakan EasyEngine, Anda tidak perlu dea

Cara Memasang BlogoText CMS pada Debian 9 LAMP VPS

Cara Memasang BlogoText CMS pada Debian 9 LAMP VPS

Menggunakan Sistem yang Berbeda? BlogoText CMS adalah Content Management System (CMS) yang sederhana dan ringan, gratis, dan engine blog minimalis

Cara Memasang InvoicePlane di Debian 9

Cara Memasang InvoicePlane di Debian 9

Menggunakan Sistem yang Berbeda? InvoicePlane adalah aplikasi faktur sumber terbuka dan gratis. Kode sumbernya dapat ditemukan di repositori Github ini. Panduan ini

Cara Memasang Backdrop CMS 1.8.0 pada Debian 9 LAMP VPS

Cara Memasang Backdrop CMS 1.8.0 pada Debian 9 LAMP VPS

Menggunakan Sistem yang Berbeda? Backdrop CMS 1.8.0 adalah Content Management System (CMS) yang sederhana dan fleksibel, ramah seluler, gratis dan terbuka yang memungkinkan kami

Cara Memasang BookStack pada Debian 9

Cara Memasang BookStack pada Debian 9

Menggunakan Sistem yang Berbeda? BookStack adalah platform sederhana, self-host, mudah digunakan untuk mengatur dan menyimpan informasi. BookStack sepenuhnya gratis dan terbuka

Cara Memasang Pagekit 1.0 CMS pada Debian 9 LAMP VPS

Cara Memasang Pagekit 1.0 CMS pada Debian 9 LAMP VPS

Menggunakan Sistem yang Berbeda? Pagekit 1.0 CMS adalah Content Management System (CMS) yang indah, modular, dapat diperpanjang dan ringan, dengan

Alat Pemantauan Yang Lebih Baik Untuk Ubuntu Dan CentOS

Alat Pemantauan Yang Lebih Baik Untuk Ubuntu Dan CentOS

Pendahuluan Sistem Linux dilengkapi dengan alat pemantauan secara default seperti top, df, dan du yang membantu memonitor proses dan ruang disk. Namun sering kali, mereka ar

Pantau Status Server Debian dengan Munin

Pantau Status Server Debian dengan Munin

Munin adalah alat pemantauan untuk mensurvei proses dan sumber daya di mesin Anda dan menyajikan informasi dalam grafik melalui antarmuka web. Gunakan tindak lanjutnya

Cara Mengaktifkan TLS 1.3 di Apache pada Debian 10

Cara Mengaktifkan TLS 1.3 di Apache pada Debian 10

Menggunakan Sistem yang Berbeda? TLS 1.3 adalah versi protokol Transport Layer Security (TLS) yang diterbitkan pada 2018 sebagai standar yang diusulkan dalam RFC 8446

Cara Memasang PyroCMS di Debian 9

Cara Memasang PyroCMS di Debian 9

Menggunakan Sistem yang Berbeda? PyroCMS adalah CMS open source yang ditulis dalam PHP. Kode sumber PyroCMS dihosting di GitHub. Dalam panduan ini berjalan dengan baik melalui keseluruhan

Cara Memasang Redaxscript 3.2 CMS pada VPS Debian 9 LAMP

Cara Memasang Redaxscript 3.2 CMS pada VPS Debian 9 LAMP

Menggunakan Sistem yang Berbeda? Redaxscript 3.2 CMS adalah Content Management System (CMS) yang modern dan sangat ringan, gratis dan open source dengan roket

Tambahkan Kisaran Alamat IP ke Server Anda (CentOS / Ubuntu / Debian)

Tambahkan Kisaran Alamat IP ke Server Anda (CentOS / Ubuntu / Debian)

Pendahuluan Dalam tutorial ini, kita akan membahas proses menambahkan seluruh rentang IP / subnet ke server Linux yang menjalankan CentOS, Debian, atau Ubuntu. Prosesnya

Menyiapkan Counter Strike: Sumber di Debian

Menyiapkan Counter Strike: Sumber di Debian

Dalam panduan ini, kami akan menyiapkan Counter Strike: Server game sumber pada Debian 7. Perintah ini diuji pada Debian 7 tetapi perintah itu juga harus berfungsi

Instal PBX dalam Flash 5 pada Debian 8

Instal PBX dalam Flash 5 pada Debian 8

PBX In A Flash 5 (PIAF5) adalah sistem operasi berbasis Debian 8 yang mengubah Vultr VPS Anda menjadi PBX yang lengkap. Ia memiliki fitur berikut, dan banyak lagi.

Cara Memasang Dolibarr di Debian 9

Cara Memasang Dolibarr di Debian 9

Menggunakan Sistem yang Berbeda? Dolibarr adalah perencanaan sumber daya perusahaan sumber terbuka (ERP) dan manajemen hubungan pelanggan (CRM) untuk bisnis. Dolibarr

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

Wawasan tentang 26 Teknik Analisis Data Besar: Bagian 1

6 Hal yang Sangat Menggila dari Nintendo Switch

6 Hal yang Sangat Menggila dari Nintendo Switch

Banyak dari Anda tahu Switch keluar pada Maret 2017 dan fitur-fitur barunya. Bagi yang belum tahu, kami sudah menyiapkan daftar fitur yang membuat 'Switch' menjadi 'gadget yang wajib dimiliki'.

Janji Teknologi Yang Masih Belum Ditepati

Janji Teknologi Yang Masih Belum Ditepati

Apakah Anda menunggu raksasa teknologi untuk memenuhi janji mereka? periksa apa yang belum terkirim.

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Fungsionalitas Lapisan Arsitektur Referensi Big Data

Baca blog untuk mengetahui berbagai lapisan dalam Arsitektur Big Data dan fungsinya dengan cara yang paling sederhana.

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Bagaimana AI Dapat Membawa Otomatisasi Proses ke Tingkat Selanjutnya?

Baca ini untuk mengetahui bagaimana Kecerdasan Buatan menjadi populer di antara perusahaan skala kecil dan bagaimana hal itu meningkatkan kemungkinan untuk membuat mereka tumbuh dan memberi keunggulan pada pesaing mereka.

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA: Berapa Lama Itu Bisa Tetap Menjadi Teknik yang Layak Untuk Perbedaan Human-AI?

CAPTCHA telah berkembang cukup sulit bagi pengguna untuk dipecahkan dalam beberapa tahun terakhir. Apakah itu akan tetap efektif dalam deteksi spam dan bot di masa mendatang?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Singularitas Teknologi: Masa Depan Peradaban Manusia yang Jauh?

Saat Sains Berkembang dengan kecepatan tinggi, mengambil alih banyak upaya kita, risiko menundukkan diri kita pada Singularitas yang tidak dapat dijelaskan juga meningkat. Baca, apa arti singularitas bagi kita.

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Telemedicine Dan Perawatan Kesehatan Jarak Jauh: Masa Depan Ada Di Sini

Apa itu telemedicine, perawatan kesehatan jarak jauh dan dampaknya terhadap generasi mendatang? Apakah itu tempat yang bagus atau tidak dalam situasi pandemi? Baca blog untuk menemukan tampilan!

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Pernahkah Anda Bertanya-tanya Bagaimana Hacker Menghasilkan Uang?

Anda mungkin pernah mendengar bahwa peretas menghasilkan banyak uang, tetapi pernahkah Anda bertanya-tanya bagaimana cara mereka mendapatkan uang sebanyak itu? mari berdiskusi.

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Pembaruan Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Masalah Daripada Menyelesaikan

Baru-baru ini Apple merilis macOS Catalina 10.15.4 pembaruan suplemen untuk memperbaiki masalah tetapi tampaknya pembaruan menyebabkan lebih banyak masalah yang mengarah ke bricking mesin mac. Baca artikel ini untuk mempelajari lebih lanjut