Snort este un sistem gratuit de detectare a intruziunilor în rețea (IDS). În termeni mai puțin oficiali, vă permite să monitorizați rețeaua în timp real a activității suspecte . În prezent, Snort are pachete pentru sisteme bazate pe Fedora, CentOS, FreeBSD și Windows. Metoda exactă de instalare variază de la sisteme de operare. În acest tutorial, vom instala direct din fișierele sursă pentru Snort. Acest ghid a fost scris pentru Debian.
Înainte de a pune mâna pe sursele Snort, trebuie să ne asigurăm că sistemul nostru este actualizat. Putem face acest lucru prin emiterea comenzilor de mai jos.
sudo apt-get update
sudo apt-get upgrade -y
sudo reboot
După ce sistemul dvs. a fost repornit, trebuie să instalăm o serie de pachete pentru a ne asigura că putem instala SBPP. Am putut să-mi dau seama că au fost necesare mai multe pachete, deci comanda de bază este mai jos.
sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y
După ce toate pachetele sunt instalate, va trebui să creați un director temporar pentru fișierele sursă - acestea pot fi oriunde doriți. Voi folosi /usr/src/snort_src. Pentru a crea acest folder, va trebui să fiți autentificat ca rootutilizator sau să aveți sudopermisiuni - rootsimplifică simplitatea.
sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src
Înainte de a putea primi sursa pentru Snort, trebuie să instalăm DAQ. Este destul de simplu de instalat.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
Extrageți fișierele din tarball.
tar xvfz daq-2.0.6.tar.gz
Modificați în directorul DAQ.
cd daq-2.0.6
Configurați și instalați DAQ.
./configure; make; sudo make install
Acea ultimă linie, se va executa mai ./configureîntâi. Apoi se va executa make. În cele din urmă, se va executa make install. Folosim sintaxa mai scurtă aici doar pentru a economisi un pic la tastare.
Vrem să ne asigurăm că ne aflăm din /usr/src/snort_srcnou în director, așa că asigurați-vă că vă puteți schimba în acel director cu:
cd /usr/src/snort_src
Acum, că ne aflăm în directorul surselor, vom descărca tar.gzfișierul pentru sursă. În momentul acestei scrieri, cea mai recentă versiune a lui Snort este 2.9.8.0.
wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz
Comenzile pentru instalarea efectivă a snortului sunt foarte similare cu cele utilizate pentru DAQ, dar au opțiuni diferite.
Extrageți fișierele sursă Snort.
tar xvfz snort-2.9.8.0.tar.gz
Modificați în directorul sursă.
cd snort-2.9.8.0
Configurați și instalați sursele.
./configure --enable-sourcefire; make; sudo make install
După ce am instalat Snort, trebuie să ne asigurăm că bibliotecile noastre partajate sunt la zi. Putem face acest lucru folosind comanda:
sudo ldconfig
După ce facem asta, testați instalarea Snort:
snort --version
Dacă această comandă nu funcționează, va trebui să creați un simbol. Puteți face acest lucru tastând:
sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version
Rezultatul rezultat va semăna cu următoarele:
,,_ -*> Snort! <*-
o" )~ Version 2.9.7.5 GRE (Build 262)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.6.2
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Acum că am instalat, nu dorim să funcționeze ca rootatare, așa că trebuie să creăm un snortutilizator și un grup. Pentru a crea un utilizator și un grup nou, putem utiliza aceste două comenzi:
sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort
Deoarece am instalat programul folosind sursa, trebuie să creăm fișierele de configurare și regulile pentru snort.
sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
După ce am creat directoarele și regulile, acum trebuie să creăm directorul jurnal.
sudo mkdir /var/log/snort
Și, în sfârșit, înainte de a putea adăuga orice reguli, avem nevoie de un loc în care să stocăm regulile dinamice.
sudo mkdir /usr/local/lib/snort_dynamicrules
După ce au fost create toate fișierele anterioare, setați permisiunile corespunzătoare asupra lor.
sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules
Pentru a economisi o grămadă de timp și pentru a evita să copiați și să lipiți totul, permiteți doar să copiați toate fișierele în directorul de configurare.
sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort
Acum că fișierele de configurare sunt acolo, puteți face unul dintre cele două lucruri:
Oricum, vei dori să schimbi câteva lucruri. Continua să citești.
În /etc/snort/snort.conffișier, va trebui să schimbați variabila HOME_NET. Ar trebui să fie setat pe blocul IP al rețelei dvs. interne, astfel încât acesta nu va înregistra încercările propriei rețele de a vă conecta la server. Acesta poate fi 10.0.0.0/24sau 192.168.0.0/16. Pe linia 45 se /etc/snort/snort.confschimbă variabila HOME_NETla acea valoare a blocului IP al rețelei.
În rețeaua mea, arată așa:
ipvar HOME_NET 192.168.0.0/16
Apoi, va trebui să setați EXTERNAL_NETvariabila la:
any
Ceea ce se transformă EXERNAL_NETîn ceea ce HOME_NETnu este.
Acum că o mare majoritate a sistemului este configurat, trebuie să ne configuram regulile pentru acest mic. Undeva în jurul valorii de linia 104 în dvs. de /etc/snort/snort.conffișiere, ar trebui să vedeți un „var“ declarație și variabilele RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, și BLACK_LIST_PATH. Valorile lor trebuie setate pe căile pe care le-am folosit Un-rooting Snort.
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Odată ce valorile sunt setate, ștergeți sau comentați regulile curente începând de la linia 548.
Acum, permiteți verificarea pentru a vă asigura că configurația dvs. este corectă. Puteți verifica cu snort.
# snort -T -c /etc/snort/snort.conf
Veți vedea o ieșire similară cu cea următoare (trunchiată pentru scurtitate).
Running in Test mode
--== Initializing Snort ==--
Initializing Output Plugins!
Initializing Preprocessors!
Initializing Plug-ins!
.....
Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
Verifying Preprocessor Configurations!
--== Initialization Complete ==--
,,_ -*> Snort! <*-
o" )~ Version 2.9.8.0 GRE (Build 229)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
Copyright (C) 1998-2013 Sourcefire, Inc., et al.
Using libpcap version 1.7.4
Using PCRE version: 8.35 2014-04-04
Using ZLIB version: 1.2.8
Rules Engine: SF_SNORT_DETECTION_ENGINE Version 2.4 <Build 1>
Preprocessor Object: SF_IMAP Version 1.0 <Build 1>
Preprocessor Object: SF_FTPTELNET Version 1.2 <Build 13>
Preprocessor Object: SF_SIP Version 1.1 <Build 1>
Preprocessor Object: SF_REPUTATION Version 1.1 <Build 1>
Preprocessor Object: SF_POP Version 1.0 <Build 1>
Preprocessor Object: SF_DCERPC2 Version 1.0 <Build 3>
Preprocessor Object: SF_SDF Version 1.1 <Build 1>
Preprocessor Object: SF_GTP Version 1.1 <Build 1>
Preprocessor Object: SF_DNS Version 1.1 <Build 4>
Preprocessor Object: SF_SSH Version 1.1 <Build 3>
Preprocessor Object: SF_DNP3 Version 1.1 <Build 1>
Preprocessor Object: SF_SSLPP Version 1.1 <Build 4>
Preprocessor Object: SF_SMTP Version 1.1 <Build 9>
Preprocessor Object: SF_MODBUS Version 1.1 <Build 1>
Snort successfully validated the configuration!
Snort exiting
Acum că totul este configurat fără erori, suntem pregătiți să începem testarea Snort.
Cel mai simplu mod de a testa Snort este activarea local.rules. Acesta este un fișier care conține regulile dvs. personalizate.
Dacă ați observat în snort.conffișier, undeva în jurul liniei 546, această linie există:
include $RULE_PATH/local.rules
Dacă nu aveți, adăugați-l în jur de 546. Puteți utiliza local.rulesfișierul pentru testare. Ca test de bază, doar Snort urmărește o solicitare ping (cerere ICMP). Puteți face acest lucru prin adăugarea în local.rulesfișierul dvs. în linia următoare .
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
După ce îl aveți în fișier, salvați-l și continuați să citiți.
Următoarea comandă va porni Snort și va imprima alertele „mod rapid”, pe măsură ce utilizatorul se strecoară, sub snortul de grup, folosind configurația /etc/snort/snort.conf, și se va asculta pe interfața de rețea eno1. Va trebui să schimbați eno1orice interfață de rețea ascultă sistemul dvs.
$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1
Odată ce îl aveți în funcțiune, faceți clic pe computerul respectiv. Vei începe să vezi o ieșire care arată astfel:
01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0] 192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal
Puteți apăsa Ctrl + C pentru a ieși din program, și asta este. Snortul este totul configurat. Acum puteți utiliza orice reguli doriți.
În sfârșit, vreau să notez că există câteva reguli publice făcute de comunitate pe care le puteți descărca de pe site-ul oficial sub fila „Comunitate”. Căutați „Snort”, apoi tocmai sub aceasta există o legătură comunitară. Descarcă asta, extrage-l și caută community.rulesfișierul.
NFS este un sistem de fișiere bazat pe rețea care permite computerelor să acceseze fișiere într-o rețea de calculatoare. Acest ghid explică modul în care puteți expune folderele peste NF
Introducere MySQL are o caracteristică excelentă cunoscută sub numele de vizualizări. Vizualizările sunt interogări stocate. Gândiți-vă la ele ca la un alias pentru o întrebare altfel lungă. În acest ghid,
Folosind un sistem diferit? Thelia este un instrument open source pentru crearea de site-uri web pentru e-business și gestionarea conținutului online scris în PHP. Codul sursă Thelia i
Acest articol vă va învăța cum să configurați o închisoare chroot pe Debian. Presupun că utilizați Debian 7.x. Dacă executați Debian 6 sau 8, acest lucru poate funcționa, bine
Introducere Un mod ușor de a configura un server VPN pe Debian este cu PiVPN. PiVPN este un instalator și un pachet pentru OpenVPN. Creează comenzi simple pentru tine
EasyEngine (ee) este un instrument Python care vă permite să gestionați ușor și automat site-urile Wordpress de pe Nginx. Folosind EasyEngine, nu va trebui să dați
Folosind un sistem diferit? BlogoText CMS este un sistem simplu și ușor, gratuit și liber de gestionare a conținutului de conținut (CMS) și un motor de blog minimalist
Folosind un sistem diferit? InvoicePlane este o aplicație gratuită și deschisă de facturare a sursei. Codul sursă al acestuia poate fi găsit în acest depozit Github. Acest ghid
Folosind un sistem diferit? Fundalul CMS 1.8.0 este un sistem de management al conținutului (CMS), simplu și flexibil, mobil, prietenos și gratuit, care ne permite
Folosind un sistem diferit? BookStack este o platformă simplă, self-gazdată, ușor de utilizat pentru organizarea și stocarea informațiilor. BookStack este complet gratuit și deschis
Folosind un sistem diferit? Pagekit 1.0 CMS este un sistem frumos de gestionare a conținutului (CMS), modular, extensibil și ușor, gratuit și deschis, cu
Introducere Sistemele Linux sunt livrate cu instrumente de monitorizare în mod implicit, cum ar fi top, df și du care ajută la monitorizarea proceselor și a spațiului pe disc. De multe ori însă, acestea sunt
Munin este un instrument de monitorizare pentru a analiza procesele și resursele din mașina dvs. și prezintă informațiile în grafice printr-o interfață web. Utilizați următoarea
Folosind un sistem diferit? TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446
Folosind un sistem diferit? Flarum este un software gratuit și open source de generație viitoare care face discuția online distractivă. Este simplu, rapid și gratuit
Folosind un sistem diferit? Redaxscript 3.2 CMS este un sistem de gestionare a conținutului (CMS) modern și ultra ușor, gratuit și deschis, cu rachetă
Introducere În acest tutorial, vom acoperi procesul de adăugare a întregului interval / subrețea IP la un server Linux care rulează CentOS, Debian sau Ubuntu. Procesul
În acest ghid, vom stabili un Counter Strike: Server de joc sursă pe Debian 7. Aceste comenzi au fost testate pe Debian 7, dar ar trebui să funcționeze o
PBX In A Flash 5 (PIAF5) este un sistem de operare bazat pe Debian 8, care transformă Vultr VPS-ul dvs. într-un PBX complet. Acesta posedă următoarele caracteristici și multe altele.
Folosind un sistem diferit? Dolibarr este un plan de resurse pentru întreprinderi open source (ERP) și managementul relațiilor cu clienții (CRM) pentru companii. Dolibarr
O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1
Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.
Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.
Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.
Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.
CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?
Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.
Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!
Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.
Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe
