Cum să configurați snortul pe Debian

Snort este un sistem gratuit de detectare a intruziunilor în rețea (IDS). În termeni mai puțin oficiali, vă permite să monitorizați rețeaua în timp real a activității suspecte . În prezent, Snort are pachete pentru sisteme bazate pe Fedora, CentOS, FreeBSD și Windows. Metoda exactă de instalare variază de la sisteme de operare. În acest tutorial, vom instala direct din fișierele sursă pentru Snort. Acest ghid a fost scris pentru Debian.

Actualizați, actualizați și reporniți

Înainte de a pune mâna pe sursele Snort, trebuie să ne asigurăm că sistemul nostru este actualizat. Putem face acest lucru prin emiterea comenzilor de mai jos.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Configurare pre-instalare

După ce sistemul dvs. a fost repornit, trebuie să instalăm o serie de pachete pentru a ne asigura că putem instala SBPP. Am putut să-mi dau seama că au fost necesare mai multe pachete, deci comanda de bază este mai jos.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

După ce toate pachetele sunt instalate, va trebui să creați un director temporar pentru fișierele sursă - acestea pot fi oriunde doriți. Voi folosi /usr/src/snort_src. Pentru a crea acest folder, va trebui să fiți autentificat ca rootutilizator sau să aveți sudopermisiuni - rootsimplifică simplitatea.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Instalarea bibliotecii de achiziție a datelor (DAQ)

Înainte de a putea primi sursa pentru Snort, trebuie să instalăm DAQ. Este destul de simplu de instalat.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Extrageți fișierele din tarball.

tar xvfz daq-2.0.6.tar.gz

Modificați în directorul DAQ.

cd daq-2.0.6

Configurați și instalați DAQ.

./configure; make; sudo make install

Acea ultimă linie, se va executa mai ./configureîntâi. Apoi se va executa make. În cele din urmă, se va executa make install. Folosim sintaxa mai scurtă aici doar pentru a economisi un pic la tastare.

Instalarea Snort

Vrem să ne asigurăm că ne aflăm din /usr/src/snort_srcnou în director, așa că asigurați-vă că vă puteți schimba în acel director cu:

cd /usr/src/snort_src

Acum, că ne aflăm în directorul surselor, vom descărca tar.gzfișierul pentru sursă. În momentul acestei scrieri, cea mai recentă versiune a lui Snort este 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Comenzile pentru instalarea efectivă a snortului sunt foarte similare cu cele utilizate pentru DAQ, dar au opțiuni diferite.

Extrageți fișierele sursă Snort.

tar xvfz snort-2.9.8.0.tar.gz

Modificați în directorul sursă.

cd snort-2.9.8.0

Configurați și instalați sursele.

 ./configure --enable-sourcefire; make; sudo make install

Post-instalarea Snort

După ce am instalat Snort, trebuie să ne asigurăm că bibliotecile noastre partajate sunt la zi. Putem face acest lucru folosind comanda:

sudo ldconfig

După ce facem asta, testați instalarea Snort:

snort --version

Dacă această comandă nu funcționează, va trebui să creați un simbol. Puteți face acest lucru tastând:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Rezultatul rezultat va semăna cu următoarele:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Snort fără rădăcină

Acum că am instalat, nu dorim să funcționeze ca rootatare, așa că trebuie să creăm un snortutilizator și un grup. Pentru a crea un utilizator și un grup nou, putem utiliza aceste două comenzi:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Deoarece am instalat programul folosind sursa, trebuie să creăm fișierele de configurare și regulile pentru snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

După ce am creat directoarele și regulile, acum trebuie să creăm directorul jurnal.

sudo mkdir /var/log/snort

Și, în sfârșit, înainte de a putea adăuga orice reguli, avem nevoie de un loc în care să stocăm regulile dinamice.

sudo mkdir /usr/local/lib/snort_dynamicrules

După ce au fost create toate fișierele anterioare, setați permisiunile corespunzătoare asupra lor.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Configurarea fișierelor de configurare

Pentru a economisi o grămadă de timp și pentru a evita să copiați și să lipiți totul, permiteți doar să copiați toate fișierele în directorul de configurare.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Acum că fișierele de configurare sunt acolo, puteți face unul dintre cele două lucruri:

  • Puteți activa Barnyard2
  • Sau puteți lăsa fișierele de configurare singure și activați selectiv regulile dorite.

Oricum, vei dori să schimbi câteva lucruri. Continua să citești.

configurație

În /etc/snort/snort.conffișier, va trebui să schimbați variabila HOME_NET. Ar trebui să fie setat pe blocul IP al rețelei dvs. interne, astfel încât acesta nu va înregistra încercările propriei rețele de a vă conecta la server. Acesta poate fi 10.0.0.0/24sau 192.168.0.0/16. Pe linia 45 se /etc/snort/snort.confschimbă variabila HOME_NETla acea valoare a blocului IP al rețelei.

În rețeaua mea, arată așa:

ipvar HOME_NET 192.168.0.0/16

Apoi, va trebui să setați EXTERNAL_NETvariabila la:

any

Ceea ce se transformă EXERNAL_NETîn ceea ce HOME_NETnu este.

Stabilirea regulilor

Acum că o mare majoritate a sistemului este configurat, trebuie să ne configuram regulile pentru acest mic. Undeva în jurul valorii de linia 104 în dvs. de /etc/snort/snort.conffișiere, ar trebui să vedeți un „var“ declarație și variabilele RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, și BLACK_LIST_PATH. Valorile lor trebuie setate pe căile pe care le-am folosit Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Odată ce valorile sunt setate, ștergeți sau comentați regulile curente începând de la linia 548.

Acum, permiteți verificarea pentru a vă asigura că configurația dvs. este corectă. Puteți verifica cu snort.

 # snort -T -c /etc/snort/snort.conf

Veți vedea o ieșire similară cu cea următoare (trunchiată pentru scurtitate).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Acum că totul este configurat fără erori, suntem pregătiți să începem testarea Snort.

Testarea Snort

Cel mai simplu mod de a testa Snort este activarea local.rules. Acesta este un fișier care conține regulile dvs. personalizate.

Dacă ați observat în snort.conffișier, undeva în jurul liniei 546, această linie există:

include $RULE_PATH/local.rules

Dacă nu aveți, adăugați-l în jur de 546. Puteți utiliza local.rulesfișierul pentru testare. Ca test de bază, doar Snort urmărește o solicitare ping (cerere ICMP). Puteți face acest lucru prin adăugarea în local.rulesfișierul dvs. în linia următoare .

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

După ce îl aveți în fișier, salvați-l și continuați să citiți.

Rulați testul

Următoarea comandă va porni Snort și va imprima alertele „mod rapid”, pe măsură ce utilizatorul se strecoară, sub snortul de grup, folosind configurația /etc/snort/snort.conf, și se va asculta pe interfața de rețea eno1. Va trebui să schimbați eno1orice interfață de rețea ascultă sistemul dvs.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Odată ce îl aveți în funcțiune, faceți clic pe computerul respectiv. Vei începe să vezi o ieșire care arată astfel:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Puteți apăsa Ctrl + C pentru a ieși din program, și asta este. Snortul este totul configurat. Acum puteți utiliza orice reguli doriți.

În sfârșit, vreau să notez că există câteva reguli publice făcute de comunitate pe care le puteți descărca de pe site-ul oficial sub fila „Comunitate”. Căutați „Snort”, apoi tocmai sub aceasta există o legătură comunitară. Descarcă asta, extrage-l și caută community.rulesfișierul.



Leave a Comment

Configurare partajare NFS pe Debian

Configurare partajare NFS pe Debian

NFS este un sistem de fișiere bazat pe rețea care permite computerelor să acceseze fișiere într-o rețea de calculatoare. Acest ghid explică modul în care puteți expune folderele peste NF

Utilizarea vizualizărilor MySQL pe Debian 7

Utilizarea vizualizărilor MySQL pe Debian 7

Introducere MySQL are o caracteristică excelentă cunoscută sub numele de vizualizări. Vizualizările sunt interogări stocate. Gândiți-vă la ele ca la un alias pentru o întrebare altfel lungă. În acest ghid,

Cum se instalează Thelia 2.3 pe Debian 9

Cum se instalează Thelia 2.3 pe Debian 9

Folosind un sistem diferit? Thelia este un instrument open source pentru crearea de site-uri web pentru e-business și gestionarea conținutului online scris în PHP. Codul sursă Thelia i

Configurarea unui chroot pe Debian

Configurarea unui chroot pe Debian

Acest articol vă va învăța cum să configurați o închisoare chroot pe Debian. Presupun că utilizați Debian 7.x. Dacă executați Debian 6 sau 8, acest lucru poate funcționa, bine

Cum se instalează PiVPN pe Debian

Cum se instalează PiVPN pe Debian

Introducere Un mod ușor de a configura un server VPN pe Debian este cu PiVPN. PiVPN este un instalator și un pachet pentru OpenVPN. Creează comenzi simple pentru tine

Instalați Nginx, Wordpress și permiteți criptarea în minute cu EasyEngine pe Debian 8 sau Ubuntu 16.04

Instalați Nginx, Wordpress și permiteți criptarea în minute cu EasyEngine pe Debian 8 sau Ubuntu 16.04

EasyEngine (ee) este un instrument Python care vă permite să gestionați ușor și automat site-urile Wordpress de pe Nginx. Folosind EasyEngine, nu va trebui să dați

Cum se instalează BlogoText CMS pe un VPS Debian 9 LAMP

Cum se instalează BlogoText CMS pe un VPS Debian 9 LAMP

Folosind un sistem diferit? BlogoText CMS este un sistem simplu și ușor, gratuit și liber de gestionare a conținutului de conținut (CMS) și un motor de blog minimalist

Cum se instalează InvoicePlane pe Debian 9

Cum se instalează InvoicePlane pe Debian 9

Folosind un sistem diferit? InvoicePlane este o aplicație gratuită și deschisă de facturare a sursei. Codul sursă al acestuia poate fi găsit în acest depozit Github. Acest ghid

Cum se instalează Backdrop CMS 1.8.0 pe un Debian 9 LAMP VPS

Cum se instalează Backdrop CMS 1.8.0 pe un Debian 9 LAMP VPS

Folosind un sistem diferit? Fundalul CMS 1.8.0 este un sistem de management al conținutului (CMS), simplu și flexibil, mobil, prietenos și gratuit, care ne permite

Cum se instalează BookStack pe Debian 9

Cum se instalează BookStack pe Debian 9

Folosind un sistem diferit? BookStack este o platformă simplă, self-gazdată, ușor de utilizat pentru organizarea și stocarea informațiilor. BookStack este complet gratuit și deschis

Cum se instalează Pagekit 1.0 CMS pe un VPS Debian 9 LAMP

Cum se instalează Pagekit 1.0 CMS pe un VPS Debian 9 LAMP

Folosind un sistem diferit? Pagekit 1.0 CMS este un sistem frumos de gestionare a conținutului (CMS), modular, extensibil și ușor, gratuit și deschis, cu

Instrumente de monitorizare mai bune pentru Ubuntu și CentOS

Instrumente de monitorizare mai bune pentru Ubuntu și CentOS

Introducere Sistemele Linux sunt livrate cu instrumente de monitorizare în mod implicit, cum ar fi top, df și du care ajută la monitorizarea proceselor și a spațiului pe disc. De multe ori însă, acestea sunt

Monitorizați starea serverului Debian cu Munin

Monitorizați starea serverului Debian cu Munin

Munin este un instrument de monitorizare pentru a analiza procesele și resursele din mașina dvs. și prezintă informațiile în grafice printr-o interfață web. Utilizați următoarea

Cum se activează TLS 1.3 în Apache pe Debian 10

Cum se activează TLS 1.3 în Apache pe Debian 10

Folosind un sistem diferit? TLS 1.3 este o versiune a protocolului Transport Layer Security (TLS) care a fost publicat în 2018 ca standard propus în RFC 8446

Cum se instalează Flarum Forum pe Debian 10

Cum se instalează Flarum Forum pe Debian 10

Folosind un sistem diferit? Flarum este un software gratuit și open source de generație viitoare care face discuția online distractivă. Este simplu, rapid și gratuit

Cum se instalează Redaxscript 3.2 CMS pe un VPS Debian 9 LAMP

Cum se instalează Redaxscript 3.2 CMS pe un VPS Debian 9 LAMP

Folosind un sistem diferit? Redaxscript 3.2 CMS este un sistem de gestionare a conținutului (CMS) modern și ultra ușor, gratuit și deschis, cu rachetă

Adaugă un interval de adrese IP la serverul tău (CentOS / Ubuntu / Debian)

Adaugă un interval de adrese IP la serverul tău (CentOS / Ubuntu / Debian)

Introducere În acest tutorial, vom acoperi procesul de adăugare a întregului interval / subrețea IP la un server Linux care rulează CentOS, Debian sau Ubuntu. Procesul

Configurarea Counter Strike: Source pe Debian

Configurarea Counter Strike: Source pe Debian

În acest ghid, vom stabili un Counter Strike: Server de joc sursă pe Debian 7. Aceste comenzi au fost testate pe Debian 7, dar ar trebui să funcționeze o

Instalați PBX într-un Flash 5 pe Debian 8

Instalați PBX într-un Flash 5 pe Debian 8

PBX In A Flash 5 (PIAF5) este un sistem de operare bazat pe Debian 8, care transformă Vultr VPS-ul dvs. într-un PBX complet. Acesta posedă următoarele caracteristici și multe altele.

Cum se instalează Dolibarr pe Debian 9

Cum se instalează Dolibarr pe Debian 9

Folosind un sistem diferit? Dolibarr este un plan de resurse pentru întreprinderi open source (ERP) și managementul relațiilor cu clienții (CRM) pentru companii. Dolibarr

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe