Snort configureren op Debian

• Update, upgrade en reboot
• Configuratie vooraf installeren
• De Data Acquisition Library (DAQ) installeren
• Snort installeren
• Un-rooting Snort

Snort is een gratis netwerkinbraakdetectiesysteem (IDS). In minder officiële termen kunt u hiermee uw netwerk in realtime controleren op verdachte activiteiten . Momenteel heeft Snort pakketten voor Fedora, CentOS, FreeBSD en Windows-gebaseerde systemen. De exacte installatiemethode verschilt per besturingssysteem. In deze tutorial installeren we rechtstreeks vanuit de bronbestanden voor Snort. Deze gids is geschreven voor Debian.

Update, upgrade en reboot

Voordat we de Snort-bronnen daadwerkelijk in handen krijgen, moeten we ervoor zorgen dat ons systeem up-to-date is. We kunnen dit doen door de onderstaande opdrachten uit te voeren.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configuratie vooraf installeren

Zodra uw systeem opnieuw is opgestart, moeten we een aantal pakketten installeren om ervoor te zorgen dat we SBPP kunnen installeren. Ik kon erachter komen dat een aantal pakketten nodig was, dus het basiscommando staat hieronder.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

Zodra alle pakketten zijn geïnstalleerd, moet u een tijdelijke map voor uw bronbestanden maken - ze kunnen overal zijn waar u maar wilt. Ik zal gebruiken /usr/src/snort_src. Om deze map te maken, moet u als rootgebruiker zijn ingelogd of sudorechten hebben - roothet maakt het alleen maar eenvoudiger.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

De Data Acquisition Library (DAQ) installeren

Voordat we de bron voor Snort kunnen ophalen, moeten we de DAQ installeren. Het is vrij eenvoudig te installeren.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Pak de bestanden uit de tarball.

tar xvfz daq-2.0.6.tar.gz

Ga naar de DAQ-directory.

cd daq-2.0.6

Configureer en installeer de DAQ.

./configure; make; sudo make install

Die laatste regel wordt als ./configureeerste uitgevoerd. Daarna wordt het uitgevoerd make. Ten slotte wordt het uitgevoerd make install. We gebruiken de kortere syntaxis hier om een ​​beetje te besparen op typen.

Snort installeren

We willen zeker weten dat we weer in de /usr/src/snort_srcdirectory staan, dus zorg ervoor dat je naar die directory gaat met:

cd /usr/src/snort_src

Nu we in de directory voor de bronnen staan, zullen we het tar.gzbestand voor de bron downloaden . Op het moment van schrijven is de meest recente versie van Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

De opdrachten om snort daadwerkelijk te installeren, lijken erg op die voor de DAQ, maar ze hebben verschillende opties.

Pak de Snort-bronbestanden uit.

tar xvfz snort-2.9.8.0.tar.gz

Ga naar de bronmap.

cd snort-2.9.8.0

Configureer en installeer de bronnen.

 ./configure --enable-sourcefire; make; sudo make install

Post-installatie van Snort

Zodra we Snort hebben geïnstalleerd, moeten we ervoor zorgen dat onze gedeelde bibliotheken up-to-date zijn. We kunnen dit doen met de opdracht:

sudo ldconfig

Test daarna uw Snort-installatie:

snort --version

Als deze opdracht niet werkt, moet u een symlink maken. Je kunt dit doen door te typen:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

De resulterende uitvoer ziet er als volgt uit:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Un-rooting Snort

Nu we snort hebben geïnstalleerd, willen we niet dat het werkt root, dus we moeten een snortgebruiker en een groep maken. Om een ​​nieuwe gebruiker en groep aan te maken, kunnen we deze twee commando's gebruiken:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Omdat we het programma met de bron hebben geïnstalleerd, moeten we de configuratiebestanden en de regels voor snort maken.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

Nadat we de mappen en de regels hebben gemaakt, moeten we nu de logboekdirectory maken.

sudo mkdir /var/log/snort

En tot slot, voordat we regels kunnen toevoegen, hebben we een plaats nodig om de dynamische regels op te slaan.

sudo mkdir /usr/local/lib/snort_dynamicrules

Zodra alle vorige bestanden zijn gemaakt, stelt u de juiste rechten in.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

De configuratiebestanden instellen

Om een ​​hoop tijd te besparen en te voorkomen dat u alles hoeft te kopiëren en plakken, kunt u gewoon alle bestanden naar de configuratiemap kopiëren.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Nu de configuratiebestanden er zijn, kunt u een van de volgende twee dingen doen:

• U kunt Barnyard2 inschakelen
• Of u kunt de configuratiebestanden gewoon met rust laten en selectief de gewenste regels inschakelen.

Hoe dan ook, je zult nog steeds een paar dingen willen veranderen. Blijf lezen.

Configuratie

In het /etc/snort/snort.confbestand moet je de variabele wijzigen HOME_NET. Het moet worden ingesteld op het IP-blok van uw interne netwerk, zodat het de pogingen van uw eigen netwerk om in te loggen op de server niet registreert. Dit kan zijn 10.0.0.0/24of 192.168.0.0/16. /etc/snort/snort.confWijzig op regel 45 de variabele HOME_NETin die waarde van het IP-blok van uw netwerk.

Op mijn netwerk ziet het er als volgt uit:

ipvar HOME_NET 192.168.0.0/16

Vervolgens moet u de EXTERNAL_NETvariabele instellen op:

any

Wat gewoon verandert EXERNAL_NETin wat je HOME_NETniet bent.

De regels bepalen

Nu een grote meerderheid van het systeem is opgezet, moeten we onze regels voor dit kleine varkentje configureren. Ergens rond de lijn 104 in uw /etc/snort/snort.confbestand, moet u een "var" verklaring en de variabelen RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, en BLACK_LIST_PATH. Hun waarden moeten worden ingesteld op de paden die we hebben gebruikt Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Zodra deze waarden zijn ingesteld, verwijdert u of annuleert u de huidige regels vanaf regel 548.

Laten we nu controleren of uw configuratie correct is. Je kunt het verifiëren met snort.

 # snort -T -c /etc/snort/snort.conf

U zult uitvoer zien die lijkt op het volgende (beknopt voor beknoptheid).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Nu alles zonder fouten is geconfigureerd, zijn we klaar om Snort te testen.

Snort testen

De eenvoudigste manier om Snort te testen is door de local.rules. Dit is een bestand dat je eigen regels bevat.

Als je hebt opgemerkt in het snort.confbestand, ergens rond regel 546, bestaat deze regel:

include $RULE_PATH/local.rules

Als je het niet hebt, voeg het dan toe rond 546. Je kunt het local.rulesbestand vervolgens gebruiken om te testen. Als basistest heb ik alleen Snort om een ​​ping-verzoek bij te houden (ICMP-verzoek). U kunt dat doen door de volgende regel aan uw local.rulesbestand toe te voegen.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Zodra je dat in je bestand hebt, sla je het op en lees je verder.

Voer de test uit

De volgende opdracht start Snort en drukt "snelle modus" -waarschuwingen af, terwijl de gebruiker snuift, onder de groepsnuift, met behulp van de configuratie /etc/snort/snort.conf, en luistert op de netwerkinterface eno1. U moet overschakelen eno1naar de netwerkinterface waarop uw systeem luistert.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Zodra je het hebt uitgevoerd, ping je die computer. U zult uitvoer zien die er als volgt uitziet:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

U kunt op Ctrl + C drukken om het programma af te sluiten, en dat is alles. Snort is helemaal klaar. U kunt nu alle gewenste regels gebruiken.

Ten slotte wil ik opmerken dat er enkele openbare regels zijn die door de community zijn gemaakt en die u kunt downloaden van de officiële site onder het tabblad "Community". Zoek naar "Snort", en net daaronder is er een communitylink. Download dat, pak het uit en zoek het community.rulesbestand.