Cum să configurați snortul pe Debian

• Actualizați, actualizați și reporniți
• Configurare pre-instalare
• Instalarea bibliotecii de achiziție a datelor (DAQ)
• Instalarea Snort
• Snort fără rădăcină

Snort este un sistem gratuit de detectare a intruziunilor în rețea (IDS). În termeni mai puțin oficiali, vă permite să monitorizați rețeaua în timp real a activității suspecte . În prezent, Snort are pachete pentru sisteme bazate pe Fedora, CentOS, FreeBSD și Windows. Metoda exactă de instalare variază de la sisteme de operare. În acest tutorial, vom instala direct din fișierele sursă pentru Snort. Acest ghid a fost scris pentru Debian.

Actualizați, actualizați și reporniți

Înainte de a pune mâna pe sursele Snort, trebuie să ne asigurăm că sistemul nostru este actualizat. Putem face acest lucru prin emiterea comenzilor de mai jos.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configurare pre-instalare

După ce sistemul dvs. a fost repornit, trebuie să instalăm o serie de pachete pentru a ne asigura că putem instala SBPP. Am putut să-mi dau seama că au fost necesare mai multe pachete, deci comanda de bază este mai jos.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

După ce toate pachetele sunt instalate, va trebui să creați un director temporar pentru fișierele sursă - acestea pot fi oriunde doriți. Voi folosi /usr/src/snort_src. Pentru a crea acest folder, va trebui să fiți autentificat ca rootutilizator sau să aveți sudopermisiuni - rootsimplifică simplitatea.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Instalarea bibliotecii de achiziție a datelor (DAQ)

Înainte de a putea primi sursa pentru Snort, trebuie să instalăm DAQ. Este destul de simplu de instalat.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrageți fișierele din tarball.

tar xvfz daq-2.0.6.tar.gz

Modificați în directorul DAQ.

cd daq-2.0.6

Configurați și instalați DAQ.

./configure; make; sudo make install

Acea ultimă linie, se va executa mai ./configureîntâi. Apoi se va executa make. În cele din urmă, se va executa make install. Folosim sintaxa mai scurtă aici doar pentru a economisi un pic la tastare.

Instalarea Snort

Vrem să ne asigurăm că ne aflăm din /usr/src/snort_srcnou în director, așa că asigurați-vă că vă puteți schimba în acel director cu:

cd /usr/src/snort_src

Acum, că ne aflăm în directorul surselor, vom descărca tar.gzfișierul pentru sursă. În momentul acestei scrieri, cea mai recentă versiune a lui Snort este 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Comenzile pentru instalarea efectivă a snortului sunt foarte similare cu cele utilizate pentru DAQ, dar au opțiuni diferite.

Extrageți fișierele sursă Snort.

tar xvfz snort-2.9.8.0.tar.gz

Modificați în directorul sursă.

cd snort-2.9.8.0

Configurați și instalați sursele.

 ./configure --enable-sourcefire; make; sudo make install

Post-instalarea Snort

După ce am instalat Snort, trebuie să ne asigurăm că bibliotecile noastre partajate sunt la zi. Putem face acest lucru folosind comanda:

sudo ldconfig

După ce facem asta, testați instalarea Snort:

snort --version

Dacă această comandă nu funcționează, va trebui să creați un simbol. Puteți face acest lucru tastând:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Rezultatul rezultat va semăna cu următoarele:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Snort fără rădăcină

Acum că am instalat, nu dorim să funcționeze ca rootatare, așa că trebuie să creăm un snortutilizator și un grup. Pentru a crea un utilizator și un grup nou, putem utiliza aceste două comenzi:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Deoarece am instalat programul folosind sursa, trebuie să creăm fișierele de configurare și regulile pentru snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

După ce am creat directoarele și regulile, acum trebuie să creăm directorul jurnal.

sudo mkdir /var/log/snort

Și, în sfârșit, înainte de a putea adăuga orice reguli, avem nevoie de un loc în care să stocăm regulile dinamice.

sudo mkdir /usr/local/lib/snort_dynamicrules

După ce au fost create toate fișierele anterioare, setați permisiunile corespunzătoare asupra lor.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Configurarea fișierelor de configurare

Pentru a economisi o grămadă de timp și pentru a evita să copiați și să lipiți totul, permiteți doar să copiați toate fișierele în directorul de configurare.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Acum că fișierele de configurare sunt acolo, puteți face unul dintre cele două lucruri:

• Puteți activa Barnyard2
• Sau puteți lăsa fișierele de configurare singure și activați selectiv regulile dorite.

Oricum, vei dori să schimbi câteva lucruri. Continua să citești.

configurație

În /etc/snort/snort.conffișier, va trebui să schimbați variabila HOME_NET. Ar trebui să fie setat pe blocul IP al rețelei dvs. interne, astfel încât acesta nu va înregistra încercările propriei rețele de a vă conecta la server. Acesta poate fi 10.0.0.0/24sau 192.168.0.0/16. Pe linia 45 se /etc/snort/snort.confschimbă variabila HOME_NETla acea valoare a blocului IP al rețelei.

În rețeaua mea, arată așa:

ipvar HOME_NET 192.168.0.0/16

Apoi, va trebui să setați EXTERNAL_NETvariabila la:

any

Ceea ce se transformă EXERNAL_NETîn ceea ce HOME_NETnu este.

Stabilirea regulilor

Acum că o mare majoritate a sistemului este configurat, trebuie să ne configuram regulile pentru acest mic. Undeva în jurul valorii de linia 104 în dvs. de /etc/snort/snort.conffișiere, ar trebui să vedeți un „var“ declarație și variabilele RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, și BLACK_LIST_PATH. Valorile lor trebuie setate pe căile pe care le-am folosit Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Odată ce valorile sunt setate, ștergeți sau comentați regulile curente începând de la linia 548.

Acum, permiteți verificarea pentru a vă asigura că configurația dvs. este corectă. Puteți verifica cu snort.

 # snort -T -c /etc/snort/snort.conf

Veți vedea o ieșire similară cu cea următoare (trunchiată pentru scurtitate).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Acum că totul este configurat fără erori, suntem pregătiți să începem testarea Snort.

Testarea Snort

Cel mai simplu mod de a testa Snort este activarea local.rules. Acesta este un fișier care conține regulile dvs. personalizate.

Dacă ați observat în snort.conffișier, undeva în jurul liniei 546, această linie există:

include $RULE_PATH/local.rules

Dacă nu aveți, adăugați-l în jur de 546. Puteți utiliza local.rulesfișierul pentru testare. Ca test de bază, doar Snort urmărește o solicitare ping (cerere ICMP). Puteți face acest lucru prin adăugarea în local.rulesfișierul dvs. în linia următoare .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

După ce îl aveți în fișier, salvați-l și continuați să citiți.

Rulați testul

Următoarea comandă va porni Snort și va imprima alertele „mod rapid”, pe măsură ce utilizatorul se strecoară, sub snortul de grup, folosind configurația /etc/snort/snort.conf, și se va asculta pe interfața de rețea eno1. Va trebui să schimbați eno1orice interfață de rețea ascultă sistemul dvs.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Odată ce îl aveți în funcțiune, faceți clic pe computerul respectiv. Vei începe să vezi o ieșire care arată astfel:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Puteți apăsa Ctrl + C pentru a ieși din program, și asta este. Snortul este totul configurat. Acum puteți utiliza orice reguli doriți.

În sfârșit, vreau să notez că există câteva reguli publice făcute de comunitate pe care le puteți descărca de pe site-ul oficial sub fila „Comunitate”. Căutați „Snort”, apoi tocmai sub aceasta există o legătură comunitară. Descarcă asta, extrage-l și caută community.rulesfișierul.