Snort configureren op Debian

Snort is een gratis netwerkinbraakdetectiesysteem (IDS). In minder officiële termen kunt u hiermee uw netwerk in realtime controleren op verdachte activiteiten . Momenteel heeft Snort pakketten voor Fedora, CentOS, FreeBSD en Windows-gebaseerde systemen. De exacte installatiemethode verschilt per besturingssysteem. In deze tutorial installeren we rechtstreeks vanuit de bronbestanden voor Snort. Deze gids is geschreven voor Debian.

Update, upgrade en reboot

Voordat we de Snort-bronnen daadwerkelijk in handen krijgen, moeten we ervoor zorgen dat ons systeem up-to-date is. We kunnen dit doen door de onderstaande opdrachten uit te voeren.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuratie vooraf installeren

Zodra uw systeem opnieuw is opgestart, moeten we een aantal pakketten installeren om ervoor te zorgen dat we SBPP kunnen installeren. Ik kon erachter komen dat een aantal pakketten nodig was, dus het basiscommando staat hieronder.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Zodra alle pakketten zijn geïnstalleerd, moet u een tijdelijke map voor uw bronbestanden maken - ze kunnen overal zijn waar u maar wilt. Ik zal gebruiken /usr/src/snort_src. Om deze map te maken, moet u als rootgebruiker zijn ingelogd of sudorechten hebben - roothet maakt het alleen maar eenvoudiger.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

De Data Acquisition Library (DAQ) installeren

Voordat we de bron voor Snort kunnen ophalen, moeten we de DAQ installeren. Het is vrij eenvoudig te installeren.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Pak de bestanden uit de tarball.

tar xvfz daq-2.0.6.tar.gz

Ga naar de DAQ-directory.

cd daq-2.0.6

Configureer en installeer de DAQ.

./configure; make; sudo make install

Die laatste regel wordt als ./configureeerste uitgevoerd. Daarna wordt het uitgevoerd make. Ten slotte wordt het uitgevoerd make install. We gebruiken de kortere syntaxis hier om een ​​beetje te besparen op typen.

Snort installeren

We willen zeker weten dat we weer in de /usr/src/snort_srcdirectory staan, dus zorg ervoor dat je naar die directory gaat met:

cd /usr/src/snort_src

Nu we in de directory voor de bronnen staan, zullen we het tar.gzbestand voor de bron downloaden . Op het moment van schrijven is de meest recente versie van Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

De opdrachten om snort daadwerkelijk te installeren, lijken erg op die voor de DAQ, maar ze hebben verschillende opties.

Pak de Snort-bronbestanden uit.

tar xvfz snort-2.9.8.0.tar.gz

Ga naar de bronmap.

cd snort-2.9.8.0

Configureer en installeer de bronnen.

 ./configure --enable-sourcefire; make; sudo make install

Post-installatie van Snort

Zodra we Snort hebben geïnstalleerd, moeten we ervoor zorgen dat onze gedeelde bibliotheken up-to-date zijn. We kunnen dit doen met de opdracht:

sudo ldconfig

Test daarna uw Snort-installatie:

snort --version

Als deze opdracht niet werkt, moet u een symlink maken. Je kunt dit doen door te typen:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

De resulterende uitvoer ziet er als volgt uit:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Un-rooting Snort

Nu we snort hebben geïnstalleerd, willen we niet dat het werkt root, dus we moeten een snortgebruiker en een groep maken. Om een ​​nieuwe gebruiker en groep aan te maken, kunnen we deze twee commando's gebruiken:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Omdat we het programma met de bron hebben geïnstalleerd, moeten we de configuratiebestanden en de regels voor snort maken.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Nadat we de mappen en de regels hebben gemaakt, moeten we nu de logboekdirectory maken.

sudo mkdir /var/log/snort

En tot slot, voordat we regels kunnen toevoegen, hebben we een plaats nodig om de dynamische regels op te slaan.

sudo mkdir /usr/local/lib/snort_dynamicrules

Zodra alle vorige bestanden zijn gemaakt, stelt u de juiste rechten in.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

De configuratiebestanden instellen

Om een ​​hoop tijd te besparen en te voorkomen dat u alles hoeft te kopiëren en plakken, kunt u gewoon alle bestanden naar de configuratiemap kopiëren.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nu de configuratiebestanden er zijn, kunt u een van de volgende twee dingen doen:

  • U kunt Barnyard2 inschakelen
  • Of u kunt de configuratiebestanden gewoon met rust laten en selectief de gewenste regels inschakelen.

Hoe dan ook, je zult nog steeds een paar dingen willen veranderen. Blijf lezen.

Configuratie

In het /etc/snort/snort.confbestand moet je de variabele wijzigen HOME_NET. Het moet worden ingesteld op het IP-blok van uw interne netwerk, zodat het de pogingen van uw eigen netwerk om in te loggen op de server niet registreert. Dit kan zijn 10.0.0.0/24of 192.168.0.0/16. /etc/snort/snort.confWijzig op regel 45 de variabele HOME_NETin die waarde van het IP-blok van uw netwerk.

Op mijn netwerk ziet het er als volgt uit:

ipvar HOME_NET 192.168.0.0/16

Vervolgens moet u de EXTERNAL_NETvariabele instellen op:

any

Wat gewoon verandert EXERNAL_NETin wat je HOME_NETniet bent.

De regels bepalen

Nu een grote meerderheid van het systeem is opgezet, moeten we onze regels voor dit kleine varkentje configureren. Ergens rond de lijn 104 in uw /etc/snort/snort.confbestand, moet u een "var" verklaring en de variabelen RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, en BLACK_LIST_PATH. Hun waarden moeten worden ingesteld op de paden die we hebben gebruikt Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Zodra deze waarden zijn ingesteld, verwijdert u of annuleert u de huidige regels vanaf regel 548.

Laten we nu controleren of uw configuratie correct is. Je kunt het verifiëren met snort.

 # snort -T -c /etc/snort/snort.conf

U zult uitvoer zien die lijkt op het volgende (beknopt voor beknoptheid).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nu alles zonder fouten is geconfigureerd, zijn we klaar om Snort te testen.

Snort testen

De eenvoudigste manier om Snort te testen is door de local.rules. Dit is een bestand dat je eigen regels bevat.

Als je hebt opgemerkt in het snort.confbestand, ergens rond regel 546, bestaat deze regel:

include $RULE_PATH/local.rules

Als je het niet hebt, voeg het dan toe rond 546. Je kunt het local.rulesbestand vervolgens gebruiken om te testen. Als basistest heb ik alleen Snort om een ​​ping-verzoek bij te houden (ICMP-verzoek). U kunt dat doen door de volgende regel aan uw local.rulesbestand toe te voegen.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Zodra je dat in je bestand hebt, sla je het op en lees je verder.

Voer de test uit

De volgende opdracht start Snort en drukt "snelle modus" -waarschuwingen af, terwijl de gebruiker snuift, onder de groepsnuift, met behulp van de configuratie /etc/snort/snort.conf, en luistert op de netwerkinterface eno1. U moet overschakelen eno1naar de netwerkinterface waarop uw systeem luistert.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Zodra je het hebt uitgevoerd, ping je die computer. U zult uitvoer zien die er als volgt uitziet:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

U kunt op Ctrl + C drukken om het programma af te sluiten, en dat is alles. Snort is helemaal klaar. U kunt nu alle gewenste regels gebruiken.

Ten slotte wil ik opmerken dat er enkele openbare regels zijn die door de community zijn gemaakt en die u kunt downloaden van de officiële site onder het tabblad "Community". Zoek naar "Snort", en net daaronder is er een communitylink. Download dat, pak het uit en zoek het community.rulesbestand.



Leave a Comment

Stel NFS Share op Debian in

Stel NFS Share op Debian in

NFS is een netwerkgebaseerd bestandssysteem waarmee computers toegang hebben tot bestanden via een computernetwerk. Deze gids legt uit hoe u mappen via NF kunt weergeven

Couch CMS 2.0 installeren op een Debian 9 LAMP VPS

Couch CMS 2.0 installeren op een Debian 9 LAMP VPS

Gebruikt u een ander systeem? Couch CMS is een eenvoudig en flexibel, gratis en open source Content Management Systeem (CMS) waarmee webdesigners kunnen ontwerpen

Golang 1.8.3 installeren op CentOS 7, Ubuntu 16.04 en Debian 9

Golang 1.8.3 installeren op CentOS 7, Ubuntu 16.04 en Debian 9

Golang is een door Google ontwikkelde programmeertaal. Dankzij zijn veelzijdigheid, eenvoud en betrouwbaarheid is Golang uitgegroeid tot een van de meest bevolkte

Quassel instellen op Debian 9

Quassel instellen op Debian 9

IRC is populair bij ontwikkelaars en gebruikers van open source software. Een van de nadelen van IRC is dat wanneer u niet online bent, u importan kunt missen

Sudo gebruiken op Debian, CentOS en FreeBSD

Sudo gebruiken op Debian, CentOS en FreeBSD

Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud

Een Chroot opzetten op Debian

Een Chroot opzetten op Debian

Dit artikel leert u hoe u een chroot-gevangenis op Debian instelt. Ik neem aan dat u Debian 7.x gebruikt. Als u Debian 6 of 8 gebruikt, kan dit werken, bu

Hoe PiVPN op Debian te installeren

Hoe PiVPN op Debian te installeren

Inleiding Een gemakkelijke manier om een ​​VPN-server op Debian in te stellen, is met PiVPN. PiVPN is een installatieprogramma en wrapper voor OpenVPN. Het maakt simpele commandos voor je

Brotli bouwen vanuit de bron op Debian 9

Brotli bouwen vanuit de bron op Debian 9

Gebruikt u een ander systeem? Brotli is een nieuwe compressiemethode met een betere compressieverhouding dan Gzip. De broncode wordt openbaar gehost op Github. Thi

Hoe Neos CMS op Debian 9 te installeren

Hoe Neos CMS op Debian 9 te installeren

Gebruikt u een ander systeem? Neos is een Content Application Platform met een CMS en een applicatieframework als kern. Deze gids laat u zien hoe u kunt installeren

Stel Cacti in op Debian Jessie

Stel Cacti in op Debian Jessie

Introductie Cacti is een open source monitoring- en grafische tool die volledig is gebaseerd op RRD Data. Via Cacti kunt u bijna elk type apparaat volgen

Java 8 en DCEVM installeren op Debian 8 (Jessie)

Java 8 en DCEVM installeren op Debian 8 (Jessie)

Java is een platformonafhankelijke programmeertaal / virtuele machine. In deze tutorial installeren we de OpenJDK-implementatie van Java 8 op een Debian

Een netwerk van Minecraft-servers maken met BungeeCord op Debian 8, Debian 9 of CentOS 7

Een netwerk van Minecraft-servers maken met BungeeCord op Debian 8, Debian 9 of CentOS 7

Wat je nodig hebt Een Vultr VPS met minimaal 1 GB RAM. SSH-toegang (met root- / beheerdersrechten). Stap 1: BungeeCord installeren Eerste dingen eerst

Hoe TermRecord op Ubuntu 16.04 en Debian 9 te installeren

Hoe TermRecord op Ubuntu 16.04 en Debian 9 te installeren

Gebruikt u een ander systeem? TermRecord is een eenvoudige open source-tool geschreven in Python, waarmee terminalsessies kunnen worden opgeslagen op een gemakkelijk te delen, zelfvoorzienende site

Matomo Analytics op Debian installeren 9

Matomo Analytics op Debian installeren 9

Gebruikt u een ander systeem? Matomo (voorheen Piwik) is een open source analyseplatform, een open alternatief voor Google Analytics. Matomo source wordt gehost o

Monitor Debian Server Status met Munin

Monitor Debian Server Status met Munin

Munin is een monitoringtool om processen en bronnen in uw machine te onderzoeken en presenteert de informatie in grafieken via een webinterface. Gebruik de followin

Hoe ImpressPages CMS 5.0 op een Debian 9 LAMP VPS te installeren

Hoe ImpressPages CMS 5.0 op een Debian 9 LAMP VPS te installeren

Gebruikt u een ander systeem? ImpressPages CMS 5.0 is een eenvoudig en effectief, gratis en open source, gebruiksvriendelijk, op MVC gebaseerd Content Management Systeem (CMS)

Samba instellen met blokopslag op Debian 9

Samba instellen met blokopslag op Debian 9

Samba is een open source-oplossing waarmee gebruikers snelle en veilige bestands- en printshares kunnen instellen. In dit artikel zal ik bespreken hoe je Samba wit kunt instellen

IP-adresbereik toevoegen aan uw server (CentOS / Ubuntu / Debian)

IP-adresbereik toevoegen aan uw server (CentOS / Ubuntu / Debian)

Inleiding In deze zelfstudie behandelen we het proces van het toevoegen van een volledig IP-bereik / subnet aan een Linux-server met CentOS, Debian of Ubuntu. Het proces

Ansible installeren en configureren op Debian 9 voor gebruik met Windows Server

Ansible installeren en configureren op Debian 9 voor gebruik met Windows Server

Gebruikt u een ander systeem? Ansible is een open source-tool voor het automatiseren van taken. Het beheert de configuratie van uw Linux- en Windows-servers. Het werk

Ghost v0.11 LTS implementeren op Debian 8

Ghost v0.11 LTS implementeren op Debian 8

Gebruikt u een ander systeem? Ghost is een open source blogplatform dat sinds zijn populariteit aan populariteit wint onder ontwikkelaars en gewone gebruikers

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Kan AI vechten met toenemend aantal ransomware-aanvallen?

Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek

ReactOS: is dit de toekomst van Windows?

ReactOS: is dit de toekomst van Windows?

ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.

Blijf verbonden via WhatsApp Desktop-app 24 * 7

Blijf verbonden via WhatsApp Desktop-app 24 * 7

WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Hoe AI procesautomatisering naar een hoger niveau kan tillen?

Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

macOS Catalina 10.15.4 Supplement Update veroorzaakt meer problemen dan het oplost

Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

13 Commerciële data-extractietools voor big data

Wat is een logboekbestandssysteem en hoe werkt het?

Wat is een logboekbestandssysteem en hoe werkt het?

Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Technologische singulariteit: een verre toekomst van de menselijke beschaving?

Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

Een inzicht in 26 Big Data-analysetechnieken: deel 1

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

De impact van kunstmatige intelligentie in de gezondheidszorg 2021

AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.