Cara Mengkonfigurasi Snort Pada Debian

Snort adalah sistem pengesanan pencerobohan rangkaian percuma (IDS). Dalam istilah yang kurang rasmi, ini membolehkan anda memantau rangkaian anda untuk aktiviti yang mencurigakan dalam masa nyata . Pada masa ini, Snort mempunyai pakej untuk sistem berasaskan Fedora, CentOS, FreeBSD, dan Windows. Kaedah pemasangan tepat berbeza antara OS. Dalam tutorial ini, kami akan memasang terus dari fail sumber untuk Snort. Panduan ini ditulis untuk Debian.

Kemas kini, Naik taraf dan Reboot

Sebelum kita benar-benar memanfaatkan sumber Snort, kita perlu memastikan bahawa sistem kita terkini. Kita boleh melakukan ini dengan mengeluarkan arahan di bawah.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Konfigurasi pra-pemasangan

Setelah sistem anda dihidupkan semula, kami perlu memasang sebilangan pakej untuk memastikan bahawa kami dapat memasang SBPP. Saya dapat mengetahui sebilangan paket yang diperlukan, jadi arahan asasnya ada di bawah.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Setelah semua pakej dipasang, anda perlu membuat direktori sementara untuk fail sumber anda - ia boleh berada di mana sahaja yang anda mahukan. Saya akan menggunakan /usr/src/snort_src. Untuk membuat folder ini, anda perlu log masuk sebagai rootpengguna, atau mempunyai sudoizin - rootmemudahkannya.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Memasang Perpustakaan Perolehan Data (DAQ)

Sebelum kita mendapatkan sumber Snort, kita perlu memasang DAQ. Ia cukup mudah dipasang.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Ekstrak fail dari tarball.

tar xvfz daq-2.0.6.tar.gz

Tukar ke direktori DAQ.

cd daq-2.0.6

Konfigurasikan dan pasang DAQ.

./configure; make; sudo make install

Baris terakhir itu, akan dilaksanakan ./configureterlebih dahulu. Maka ia akan dilaksanakan make. Terakhir, ia akan dilaksanakan make install. Kami menggunakan sintaks yang lebih pendek di sini hanya untuk menjimatkan sedikit masa menaip.

Memasang Snort

Kami ingin memastikan kami berada di /usr/src/snort_srcdirektori lagi, jadi pastikan untuk menukar ke direktori tersebut dengan:

cd /usr/src/snort_src

Sekarang kita berada di direktori untuk sumbernya, kita akan memuat turun tar.gzfail untuk sumbernya. Pada masa penulisan ini, Snort versi terbaru adalah 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Perintah untuk benar-benar memasang snort sangat serupa dengan yang digunakan untuk DAQ, tetapi mereka mempunyai pilihan yang berbeza.

Ekstrak fail sumber Snort.

tar xvfz snort-2.9.8.0.tar.gz

Tukar ke direktori sumber.

cd snort-2.9.8.0

Konfigurasikan dan pasang sumbernya.

 ./configure --enable-sourcefire; make; sudo make install

Pasang pemasangan Snort

Setelah kami memasang Snort, kami perlu memastikan bahawa perpustakaan bersama kami terkini. Kita boleh melakukan ini dengan menggunakan arahan:

sudo ldconfig

Setelah kami melakukannya, uji pemasangan Snort anda:

snort --version

Sekiranya arahan ini tidak berfungsi, anda perlu membuat symlink. Anda boleh melakukannya dengan menaip:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Output yang dihasilkan akan menyerupai yang berikut:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Tidak mengakar Snort

Sekarang kita telah memasang snort, kita tidak ingin berjalan seperti itu root, jadi kita perlu membuat snortpengguna dan kumpulan. Untuk membuat pengguna dan kumpulan baru, kami dapat menggunakan dua perintah berikut:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Oleh kerana kita telah memasang program menggunakan sumbernya, kita perlu membuat fail konfigurasi dan peraturan untuk mendengus.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Setelah kita membuat direktori dan peraturan, kita sekarang perlu membuat direktori log.

sudo mkdir /var/log/snort

Dan terakhir, sebelum kita dapat menambahkan peraturan, kita memerlukan tempat untuk menyimpan peraturan dinamik.

sudo mkdir /usr/local/lib/snort_dynamicrules

Setelah semua fail sebelumnya dibuat, tetapkan kebenaran yang sesuai padanya.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Menyiapkan fail konfigurasi

Untuk menjimatkan banyak masa dan tidak perlu menyalin dan menempelkan semuanya, mari kita salin semua fail ke dalam direktori konfigurasi.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Setelah fail konfigurasi ada, anda boleh melakukan salah satu daripada dua perkara:

  • Anda boleh mengaktifkan Barnyard2
  • Atau anda boleh membiarkan fail konfigurasi sahaja dan mengaktifkan peraturan yang dikehendaki secara terpilih.

Walau apa pun, anda masih mahu mengubah beberapa perkara. Teruskan membaca.

Konfigurasi

Dalam /etc/snort/snort.conffail, anda perlu menukar pemboleh ubah HOME_NET. Ia harus diset ke blok IP rangkaian dalaman anda sehingga tidak akan mencuba percubaan rangkaian anda sendiri untuk masuk ke pelayan. Ini mungkin 10.0.0.0/24atau 192.168.0.0/16. Pada baris 45 /etc/snort/snort.confubah pemboleh ubah HOME_NETke nilai blok IP rangkaian anda.

Di rangkaian saya, kelihatan seperti ini:

ipvar HOME_NET 192.168.0.0/16

Kemudian, anda harus menetapkan EXTERNAL_NETpemboleh ubah ke:

any

Yang berubah EXERNAL_NETmenjadi apa sahaja yang anda HOME_NETtidak.

Menetapkan peraturan

Sekarang setelah sebahagian besar sistem disiapkan, kita perlu mengkonfigurasi peraturan kita untuk babi kecil ini. Tempat di sekitar talian 104 dalam anda /etc/snort/snort.conffail, anda akan dapat melihat "var" pengisytiharan dan pembolehubah RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, dan BLACK_LIST_PATH. Nilai-nilai mereka harus ditetapkan ke jalan yang kita gunakan Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Setelah nilai-nilai tersebut ditetapkan, hapus atau komen peraturan semasa bermula pada baris 548.

Sekarang, mari kita periksa untuk memastikan bahawa konfigurasi anda betul. Anda boleh mengesahkannya dengan snort.

 # snort -T -c /etc/snort/snort.conf

Anda akan melihat output yang serupa dengan yang berikut (dipotong untuk jangka pendek).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Setelah semuanya dikonfigurasi tanpa ralat, kami sudah siap untuk memulakan pengujian Snort.

Menguji Snort

Cara termudah untuk menguji Snort adalah dengan mengaktifkan local.rules. Ini adalah fail yang mengandungi peraturan khusus anda.

Sekiranya anda perhatikan dalam snort.conffail, di sekitar baris 546, baris ini wujud:

include $RULE_PATH/local.rules

Sekiranya anda tidak memilikinya, sila tambahkan sekitar 546. Anda kemudian boleh menggunakan local.rulesfail untuk ujian. Sebagai ujian asas, saya hanya mempunyai Snort melacak permintaan ping (permintaan ICMP). Anda boleh melakukannya dengan menambahkan baris berikut ke local.rulesfail anda .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Setelah anda memasukkannya ke dalam fail anda, simpan dan teruskan membaca.

Jalankan ujian

Perintah berikut akan memulakan Snort dan mencetak amaran "mod pantas", ketika pengguna mendengus, di bawah kumpulan mendengus, menggunakan konfigurasi /etc/snort/snort.conf, dan akan didengarkan di antara muka rangkaian eno1. Anda perlu menukar eno1ke antara muka rangkaian apa pun yang didengarkan oleh sistem anda.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Setelah anda menjalankannya, ping komputer itu. Anda akan mula melihat output seperti berikut:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Anda boleh menekan Ctrl + C untuk keluar dari program, dan itu saja. Snort sudah siap. Anda sekarang boleh menggunakan peraturan yang anda mahukan.

Akhir sekali, saya ingin ambil perhatian bahawa terdapat beberapa peraturan awam yang dibuat oleh komuniti yang boleh anda muat turun dari laman web rasmi di bawah tab "Komuniti". Cari "Snort", kemudian di bawahnya ada pautan komuniti. Muat turun, ekstrak, dan cari community.rulesfailnya.



Leave a Comment

Sediakan NFS Share di Debian

Sediakan NFS Share di Debian

NFS adalah sistem fail berasaskan rangkaian yang membolehkan komputer mengakses fail di seluruh rangkaian komputer. Panduan ini menerangkan bagaimana anda boleh mendedahkan folder di atas NF

Menggunakan Paparan MySQL pada Debian 7

Menggunakan Paparan MySQL pada Debian 7

Pengenalan MySQL mempunyai ciri hebat yang dikenali sebagai pandangan. Paparan adalah pertanyaan yang disimpan. Anggap mereka sebagai alias untuk pertanyaan yang panjang. Dalam panduan ini,

Menyiapkan Chroot di Debian

Menyiapkan Chroot di Debian

Artikel ini akan mengajar anda cara menyediakan penjara chroot di Debian. Saya menganggap bahawa anda menggunakan Debian 7.x. Sekiranya anda menjalankan Debian 6 atau 8, ini mungkin berfungsi,

Cara Memasang PiVPN pada Debian

Cara Memasang PiVPN pada Debian

Pengenalan Cara mudah untuk menyediakan pelayan VPN di Debian adalah dengan PiVPN. PiVPN adalah pemasang dan pembungkus untuk OpenVPN. Ini membuat perintah mudah untuk anda

Cara Pasang Edisi Komuniti GitLab (CE) 11.x pada Debian 9

Cara Pasang Edisi Komuniti GitLab (CE) 11.x pada Debian 9

Menggunakan Sistem Berbeza? Sejak GitHub diambil alih oleh Microsoft, sebilangan besar pembangun telah merancang untuk memindahkan repositori kod mereka sendiri dari github.co

Pasang PBX dalam Flash 5 pada Debian 8

Pasang PBX dalam Flash 5 pada Debian 8

PBX In A Flash 5 (PIAF5) adalah sistem operasi berasaskan Debian 8 yang menjadikan Vultr VPS anda menjadi PBX lengkap. Ia mempunyai ciri-ciri berikut, dan banyak lagi.

Cara Membangun Brotli Dari Sumber pada Debian 9

Cara Membangun Brotli Dari Sumber pada Debian 9

Menggunakan Sistem Berbeza? Brotli adalah kaedah pemampatan baru dengan nisbah mampatan yang lebih baik daripada Gzip. Kod sumbernya dihoskan secara umum di Github. Thi

Pasang Lynis di Debian 8

Pasang Lynis di Debian 8

Pengenalan Lynis adalah alat audit sistem sumber terbuka yang percuma yang digunakan oleh banyak pentadbir sistem untuk mengesahkan integriti dan mengeraskan sistem mereka. Saya

Cara Memasang Neos CMS pada Debian 9

Cara Memasang Neos CMS pada Debian 9

Menggunakan Sistem Berbeza? Neos adalah Platform Aplikasi Kandungan dengan CMS dan kerangka aplikasi di terasnya. Panduan ini akan menunjukkan cara pemasangan

Cara Memasang InvoicePlane pada Debian 9

Cara Memasang InvoicePlane pada Debian 9

Menggunakan Sistem Berbeza? InvoicePlane adalah aplikasi invois sumber bebas dan terbuka. Kod sumbernya boleh didapati di repositori Github ini. Panduan ini

Cara Memasang BookStack pada Debian 9

Cara Memasang BookStack pada Debian 9

Menggunakan Sistem Berbeza? BookStack adalah platform yang mudah dihoskan sendiri, mudah digunakan untuk mengatur dan menyimpan maklumat. BookStack adalah percuma dan terbuka

Cara Pasang Matomo Analytics pada Debian 9

Cara Pasang Matomo Analytics pada Debian 9

Menggunakan Sistem Berbeza? Matomo (dahulunya Piwik) adalah platform analitik sumber terbuka, alternatif terbuka kepada Google Analytics. Sumber Matomo dihoskan o

Cara Memasang X-Cart 5 pada Debian 10

Cara Memasang X-Cart 5 pada Debian 10

Menggunakan Sistem Berbeza? X-Cart adalah platform eCommerce sumber terbuka yang sangat fleksibel dengan banyak ciri dan integrasi. Kod sumber X-Cart adalah hoste

Pantau Status Pelayan Debian dengan Munin

Pantau Status Pelayan Debian dengan Munin

Munin adalah alat pemantauan untuk meninjau proses dan sumber di mesin anda dan menyampaikan maklumat dalam grafik melalui antara muka web. Gunakan ikutan

Cara Memasang Pembaca RSS Tiny Tiny pada Debian 9 LAMP VPS

Cara Memasang Pembaca RSS Tiny Tiny pada Debian 9 LAMP VPS

Menggunakan Sistem Berbeza? Tiny Tiny RSS Reader adalah pembaca berita dan agregator suapan berita (RSS / Atom) berasaskan laman web bebas dan terbuka sumber bebas dan terbuka, yang direka untuk semua

Tambahkan Julat Alamat IP ke Pelayan Anda (CentOS / Ubuntu / Debian)

Tambahkan Julat Alamat IP ke Pelayan Anda (CentOS / Ubuntu / Debian)

Pengenalan Dalam tutorial ini, kita akan membahas proses penambahan keseluruhan rangkaian / subnet IP ke pelayan Linux yang menjalankan CentOS, Debian, atau Ubuntu. Proses

Menyiapkan Counter Strike: Sumber pada Debian

Menyiapkan Counter Strike: Sumber pada Debian

Dalam panduan ini, kami akan menyiapkan Counter Strike: Server permainan sumber di Debian 7. Perintah ini diuji pada Debian 7 tetapi mereka juga harus berfungsi

Cara Memasang Revolusi MODX pada VPS Debian 9 LAMP

Cara Memasang Revolusi MODX pada VPS Debian 9 LAMP

Menggunakan Sistem Berbeza? MODX Revolution adalah Sistem Pengurusan Kandungan (CMS) bertaraf perusahaan yang pantas, fleksibel, berskala, bebas dan terbuka, bertulis i

Cara Memasang Dolibarr pada Debian 9

Cara Memasang Dolibarr pada Debian 9

Menggunakan Sistem Berbeza? Dolibarr adalah perancangan sumber perusahaan sumber terbuka (ERP) dan pengurusan hubungan pelanggan (CRM) untuk perniagaan. Dolibarr

Pasang Mailcow pada Debian 7

Pasang Mailcow pada Debian 7

Pengenalan Mailcow adalah suite mailserver ringan berdasarkan pelbagai pakej, seperti DoveCot, Postfix dan banyak pakej sumber terbuka yang lain. Mailcow dll

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

Pandangan tentang 26 Teknik Analisis Data Besar: Bahagian 1

6 Perkara Yang Sangat Menggila Tentang Nintendo Switch

6 Perkara Yang Sangat Menggila Tentang Nintendo Switch

Ramai daripada anda tahu Switch akan keluar pada Mac 2017 dan ciri baharunya. Bagi yang tidak tahu, kami telah menyediakan senarai ciri yang menjadikan 'Tukar' sebagai 'gajet yang mesti ada'.

Janji Teknologi Yang Masih Tidak Ditepati

Janji Teknologi Yang Masih Tidak Ditepati

Adakah anda menunggu gergasi teknologi memenuhi janji mereka? semak apa yang masih belum dihantar.

Fungsi Lapisan Seni Bina Rujukan Data Besar

Fungsi Lapisan Seni Bina Rujukan Data Besar

Baca blog untuk mengetahui lapisan berbeza dalam Seni Bina Data Besar dan fungsinya dengan cara yang paling mudah.

Bagaimana AI Boleh Mengambil Automasi Proses ke Tahap Seterusnya?

Bagaimana AI Boleh Mengambil Automasi Proses ke Tahap Seterusnya?

Baca ini untuk mengetahui cara Kecerdasan Buatan semakin popular di kalangan syarikat berskala kecil dan cara ia meningkatkan kebarangkalian untuk menjadikan mereka berkembang dan memberikan pesaing mereka kelebihan.

CAPTCHA: Berapa Lama Ia Boleh Kekal Sebagai Teknik Berdaya maju Untuk Perbezaan Manusia-AI?

CAPTCHA: Berapa Lama Ia Boleh Kekal Sebagai Teknik Berdaya maju Untuk Perbezaan Manusia-AI?

CAPTCHA telah menjadi agak sukar untuk diselesaikan oleh pengguna dalam beberapa tahun kebelakangan ini. Adakah ia dapat kekal berkesan dalam pengesanan spam dan bot pada masa hadapan?

Keunikan Teknologi: Masa Depan Tamadun Manusia yang Jauh?

Keunikan Teknologi: Masa Depan Tamadun Manusia yang Jauh?

Apabila Sains Berkembang pada kadar yang pantas, mengambil alih banyak usaha kita, risiko untuk menundukkan diri kita kepada Ketunggalan yang tidak dapat dijelaskan juga meningkat. Baca, apakah makna ketunggalan bagi kita.

Teleperubatan Dan Penjagaan Kesihatan Jauh: Masa Depan Ada Di Sini

Teleperubatan Dan Penjagaan Kesihatan Jauh: Masa Depan Ada Di Sini

Apakah teleperubatan, penjagaan kesihatan jauh dan impaknya kepada generasi akan datang? Adakah ia tempat yang baik atau tidak dalam situasi pandemik? Baca blog untuk mencari paparan!

Pernahkah Anda Terfikir Bagaimana Penggodam Mendapatkan Wang?

Pernahkah Anda Terfikir Bagaimana Penggodam Mendapatkan Wang?

Anda mungkin pernah mendengar bahawa penggodam memperoleh banyak wang, tetapi pernahkah anda terfikir bagaimana mereka memperoleh wang seperti itu? Mari berbincang.

Kemas Kini Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Isu Daripada Penyelesaian

Kemas Kini Tambahan macOS Catalina 10.15.4 Menyebabkan Lebih Banyak Isu Daripada Penyelesaian

Baru-baru ini Apple mengeluarkan macOS Catalina 10.15.4 kemas kini tambahan untuk menyelesaikan masalah tetapi nampaknya kemas kini itu menyebabkan lebih banyak masalah yang membawa kepada pemusnahan mesin mac. Baca artikel ini untuk mengetahui lebih lanjut