Cara Mengkonfigurasi Snort Pada Debian

• Perbarui, Tingkatkan, dan Reboot
• Pra-instal konfigurasi
• Menginstal Perpustakaan Akuisisi Data (DAQ)
• Menginstal Snort
• Batalkan rooting Snort

Snort adalah bebas jaringan sistem deteksi intrusi (IDS). Dalam ketentuan yang kurang resmi, ini memungkinkan Anda untuk memonitor jaringan Anda untuk aktivitas mencurigakan secara real time . Saat ini, Snort memiliki paket untuk sistem berbasis Fedora, CentOS, FreeBSD, dan Windows. Metode pemasangan yang tepat bervariasi di antara OS. Dalam tutorial ini, kita akan menginstal langsung dari file sumber untuk Snort. Panduan ini ditulis untuk Debian.

Perbarui, Tingkatkan, dan Reboot

Sebelum kita benar-benar mendapatkan sumber-sumber Snort, kita perlu memastikan bahwa sistem kita mutakhir. Kita dapat melakukan ini dengan mengeluarkan perintah di bawah ini.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Pra-instal konfigurasi

Setelah sistem Anda reboot, kami perlu menginstal sejumlah paket untuk memastikan bahwa kami dapat menginstal SBPP. Saya bisa mengetahui bahwa beberapa paket yang diperlukan, jadi perintah dasar di bawah ini.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Setelah semua paket diinstal, Anda perlu membuat direktori sementara untuk file sumber Anda - mereka dapat di mana saja yang Anda inginkan. Saya akan menggunakan /usr/src/snort_src. Untuk membuat folder ini, Anda harus masuk sebagai rootpengguna, atau memiliki sudoizin - roothanya membuatnya lebih mudah.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Menginstal Perpustakaan Akuisisi Data (DAQ)

Sebelum kita bisa mendapatkan sumber untuk Snort, kita perlu menginstal DAQ. Cukup mudah dipasang.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Ekstrak file dari tarball.

tar xvfz daq-2.0.6.tar.gz

Ubah ke direktori DAQ.

cd daq-2.0.6

Konfigurasikan dan instal DAQ.

./configure; make; sudo make install

Baris terakhir itu, akan dieksekusi ./configureterlebih dahulu. Maka itu akan mengeksekusi make. Terakhir, itu akan dieksekusi make install. Kami menggunakan sintaks yang lebih pendek di sini hanya untuk menghemat sedikit pada pengetikan.

Menginstal Snort

Kami ingin memastikan bahwa kami berada di /usr/src/snort_srcdirektori lagi, jadi pastikan untuk mengubah ke direktori itu dengan:

cd /usr/src/snort_src

Sekarang kita berada di direktori untuk sumber, kita akan mengunduh tar.gzfile untuk sumber. Pada saat penulisan ini, versi terbaru dari Snort adalah 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Perintah untuk benar-benar menginstal snort sangat mirip dengan yang digunakan untuk DAQ, tetapi mereka memiliki opsi yang berbeda.

Ekstrak file sumber Snort.

tar xvfz snort-2.9.8.0.tar.gz

Ubah ke direktori sumber.

cd snort-2.9.8.0

Konfigurasikan dan instal sumbernya.

 ./configure --enable-sourcefire; make; sudo make install

Pasca-instal Snort

Setelah kami memasang Snort, kami perlu memastikan bahwa pustaka bersama kami terbarui. Kita dapat melakukan ini menggunakan perintah:

sudo ldconfig

Setelah kami melakukannya, uji instalasi Snort Anda:

snort --version

Jika perintah ini tidak berfungsi, Anda harus membuat symlink. Anda dapat melakukan ini dengan mengetik:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Output yang dihasilkan akan menyerupai berikut ini:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Batalkan rooting Snort

Sekarang kita telah menginstal snort, kita tidak ingin itu berjalan root, jadi kita perlu membuat snortpengguna dan grup. Untuk membuat pengguna dan grup baru, kita dapat menggunakan dua perintah ini:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Karena kita telah menginstal program menggunakan sumber, kita perlu membuat file konfigurasi dan aturan untuk mendengus.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Setelah kita membuat direktori dan aturan, kita sekarang perlu membuat direktori log.

sudo mkdir /var/log/snort

Dan terakhir, sebelum kita dapat menambahkan aturan apa pun, kita membutuhkan tempat untuk menyimpan aturan dinamis.

sudo mkdir /usr/local/lib/snort_dynamicrules

Setelah semua file sebelumnya dibuat, tetapkan izin yang sesuai untuk file tersebut.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Menyiapkan file konfigurasi

Untuk menghemat banyak waktu dan agar tidak menyalin dan menempel semuanya, mari kita salin semua file ke direktori konfigurasi.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Sekarang setelah file konfigurasi ada, Anda dapat melakukan salah satu dari dua hal:

• Anda dapat mengaktifkan Barnyard2
• Atau Anda bisa membiarkan file konfigurasi saja dan secara selektif mengaktifkan aturan yang diinginkan.

Apa pun itu, Anda masih ingin mengubah beberapa hal. Teruslah membaca.

Konfigurasi

Dalam /etc/snort/snort.conffile tersebut, Anda perlu mengubah variabel HOME_NET. Ini harus diatur ke blok IP jaringan internal Anda sehingga tidak akan mencatat upaya jaringan Anda sendiri untuk masuk ke server. Ini mungkin 10.0.0.0/24atau 192.168.0.0/16. Pada baris 45 /etc/snort/snort.confubah variabel HOME_NETke nilai blok IP jaringan Anda.

Di jaringan saya, tampilannya seperti ini:

ipvar HOME_NET 192.168.0.0/16

Kemudian, Anda harus mengatur EXTERNAL_NETvariabel ke:

any

Yang berubah EXERNAL_NETmenjadi apa pun HOME_NETyang bukan milikmu.

Pengaturan aturan

Sekarang sebagian besar sistem sudah diatur, kita perlu mengkonfigurasi aturan untuk piggy kecil ini. Di suatu tempat di sekitar garis 104 di Anda /etc/snort/snort.confberkas, Anda akan melihat "var" deklarasi dan variabel RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, dan BLACK_LIST_PATH. Nilai-nilai mereka harus ditetapkan ke jalur yang kita gunakan Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Setelah nilai-nilai tersebut ditetapkan, hapus atau komentari aturan saat ini yang dimulai pada baris 548.

Sekarang, mari kita periksa untuk memastikan bahwa konfigurasi Anda sudah benar. Anda dapat memverifikasinya dengan snort.

 # snort -T -c /etc/snort/snort.conf

Anda akan melihat output yang mirip dengan yang berikut ini (terpotong untuk singkatnya).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Sekarang semuanya sudah dikonfigurasi tanpa kesalahan, kami siap untuk memulai pengujian Snort.

Menguji Mendengus

Cara termudah untuk menguji Snort adalah dengan mengaktifkan local.rules. Ini adalah file yang berisi aturan khusus Anda.

Jika Anda perhatikan di snort.conffile, di suatu tempat di sekitar baris 546, baris ini ada:

include $RULE_PATH/local.rules

Jika Anda tidak memilikinya, silakan tambahkan sekitar 546. Anda kemudian dapat menggunakan local.rulesfile untuk pengujian. Sebagai tes dasar, saya hanya meminta Snort melacak permintaan ping (permintaan ICMP). Anda dapat melakukannya dengan menambahkan baris berikut ke local.rulesfile Anda .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Setelah Anda memilikinya di file Anda, simpan, dan lanjutkan membaca.

Jalankan tes

Perintah berikut ini akan mulai mendengus dan mencetak peringatan "mode cepat", saat pengguna mendengus, di bawah mendengus grup, menggunakan konfigurasi /etc/snort/snort.conf, dan itu akan mendengarkan pada antarmuka jaringan eno1. Anda perlu mengubah eno1antarmuka jaringan apa pun yang didengarkan sistem Anda.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Setelah Anda menjalankannya, ping komputer itu. Anda akan mulai melihat output yang terlihat seperti berikut:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Anda dapat menekan Ctrl + C untuk keluar dari program, dan hanya itu. Snort sudah diatur. Anda sekarang dapat menggunakan aturan apa pun yang Anda inginkan.

Terakhir, saya ingin mencatat bahwa ada beberapa aturan publik yang dibuat oleh komunitas yang dapat Anda unduh dari situs resmi di bawah tab "Komunitas". Cari "Snort", lalu tepat di bawahnya ada tautan komunitas. Unduh itu, ekstrak, dan cari community.rulesfile.